防止ACCESS数据库被下载的几个方法

答案：
很多动态站点大量应用了数据库，数据库理所当然成了一个站点的核心文件。一旦数据库被非法下载，极有可能被恶意人士破坏网站。或者窃取资料。

下面提供的方法分别适用使用虚拟主机空间的用户和有IIS控制权的用户！ 

   一：购买虚拟主机空间的，适合没有IIS控制权
1：发挥你的想象力 修改数据库文件名
这个是最基本的。我想现在也没有多少连数据库文件名都懒得改的人吧？ 至于改成什么，你自己看着办，至少要保证文件名复杂，不可猜测性。当然这个时候你的数据库所在目录是不能开放目录浏览权限的！

2：数据库名后缀改为ASA、ASP等
这个听说很流行，不过我测试了好多次，发现并不理想，如果真正要起到防止下载的作用，要进行一些二进制字段添加等设置，一句话，繁而复杂（如果你的数据库有很多的话，这个方法实在不是很好）

3：数据库名前加“#”
只需要把数据库文件前名加上#、然后修改数据库连接文件（如conn.asp）中的数据库地址。原理是下载的时候只能识别 #号前名的部分，对于后面的自动去掉，比如你要下载：http://www.you.com/date/#123.mdb (假设存在的话）。无论是IE还是FLASHGET等下到的都是 http://www.you.com/date/index.htm

今天来看到57楼的兄弟说前面加“#”根本就是垃圾，后来测试了下
使用%23的确能下载:http://bbs.bccn.net/date/[color=red]%23123.mdb
后来我研究了下，中间加空格的浏览器自动编译成 %20 也是能够下载的
最后索性都不用，我就使用#+空格的编译码 %23%20.mdb 作为数据库名字
http://www.you.com/date/%23%20.mdb
经过测试，使用迅雷和普通的下载工具都不能下载[/color]

4：加密数据库
用ACCESS将你的数据库以独占方式打开后，在工具-安全-设置数据库密码，加密后要修改数据库连接页， 如：
conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=数据库密码;dbq=数据库路径"
这样修改后，数据库即使被人下载了，别人也无法打开（前提是你的数据库连接页中的密码没有被泄露）
但值得注意的是，由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串，并将其存储在*.mdb文件从地址“&H42”开始的区域内。所以一个好的程序员可以轻松田响建站制作一个几十行的小程序就可以轻松地获得任何Access数据库的密码。因此，只要数据库被下载，其安全依然是个未知数。 


  二：有主机控制权 （当然虚拟空间的设置在这里依然可以用）
5:数据库放在WEB目录外
如你的WEB目录是e:\webroot，可以把数据库放到e:\data这个文件夹里，在e:\webroot里的数据库连接页中
修改数据库连接地址为："../data/#123 456.mdb" 的形式，这样数据库可以正常调用，但是无法下载的，因为它不在WEB目录里！这个方法一般也适合购买虚拟空间的用户。

6:使用ODBC数据源。
在ASP等程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密
例如：
conn.open "driver={Microsoft Access Driver (*.mdb)};dbq="&Server.MapPath("../123/abc/asfadf.mdb")
可见，即使数据库名字起得再怪异，隐藏的目录再深，ASP源代码失密后，也很容易被下载下来。
如果使用ODBC数据源，就不会存在这样的问题了：conn.open "ODBC-DSN名" ,不过这样是比较烦的，目录移动的话又要重新设置数据源了！

7：添加数据库名的如MDB的扩展映射
这个方法就是通过修改IIS设置来实现，适合有IIS控制权的朋友，不适合购买虚拟主机用户(除非管理员已经设置了）。这个方法我认为是目前最好的。只要修改一处，整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载。

设置：
在 IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL（或EXE等）似乎也不是任意的，选择不当，这个MDB文件还是可以被下载的，  注意最好不要选择选择asp.dll等。你可以自己多测试下
这样修改后下载数据库如：http://www.you.com/data/dvbbs6.mdb。就出现（404或500等错误）

8：使用.net的优越性
动网的木鸟就写过一个防非法下载文件的“WBAL 防盗链工具”。记得本论坛曾经也有位牛人也发表过数据库防下载的插件，是.dll的加载到IIS里的。
不过 那个只实现了防止非本地下载的 ，没有起到真正的防下载数据库的功能。不过这个方法跟第5种差不多
可以通过修改.NET文件，实现本地也不能下载！

这几个方法中，只有第7和8个是统一性改的，一次修改配置后，整个站点的数据库都可以防止下载，其他几个就要分别修改数据库名和连接文件，比较麻烦，不过对于虚拟主机的朋友也只能这样了！

其实第6种方法应该是第5种方法的扩展，可以实现特殊的功能，但对于不支持.net的主机或者怕设置麻烦的话，还是直接用第5种方法了，而且默认情况下第6种方法，依然可以通过复制连接到同主机的论坛或留言本发表，然后就可以点击下载了（因为这样的引用页是来自同主机的）

这几个方法各有长短，请自己选择性地使用。这些方法也不是绝对的安全，还需要网站管理员平时注意一些系统的安全，以及写ASP代码本身的安全 ，否则依然有可能被人下载或者修改数据库！

上一个：asp发送邮件（JMail；Ms smtp）
下一个：查询所有为空的字段