一、密碼式
給資料庫起一個隨機複雜的名稱,避免被猜到被下載,這種方式在以前很流行,因為大家都對自己的代碼很有自信。但隨著錯誤提示對資料庫位址的洩露導致資料庫被非法下載,這種方式也就越來越少人用了。
二、"#"式
在資料庫名稱里加上#號,從URL上請求時#是請求位址和請求參數的一個分隔字元,如果知道了資料庫名,直接請求的話,如:http://www.xx.com/access#.mdb,WEB伺服器會認為請求的是access而不是access#.mdb,所以會提示找不到檔,但是很遺憾,URL中對於這些特殊的字元都會有一個特殊的表示方式,#的特殊表示就是%23,如http://www.xx.com/access%23.mdb,那麼access#.mdb將會被下載。還有如果用FlashGet之類的下載工具也可以直接下載。
三、ASP式
這種作法是比較專業但也是很安全的也是現在比較流行的作法,但是現在許多的人只是作了一半,只是將資料名改成ASP而以,這樣的話直接用FlashGet之類的下載工具一樣可以將資料庫下載,這種方式的正確作法有兩步:
第一步:在資料庫內創建一個欄位,名稱隨意,類型是OLE物件,內容設置為單位元組型的"
第二步:這段代碼運行完之後將會在資料庫內生成一個nodownload表,表內欄位是notdown。如果資料庫內已有同名的資料表存在請將代碼內的nodownload改成自己想要的資料表名即可。
四、asa式
這種方式的真諦是利用IIS對ASA檔的保護,從而使得資料庫檔不能從URL上直接請求下載,但是這種方式被誤解成隻要將檔尾碼改成ASA就可以了。要知道IIS只是對global.asa這個檔案名有請求保護,所以這種方式只能將資料庫名設置為global.asa,而且要注意的是,設置成global.asa之後最好不要將其放在主機或虛擬目錄的根目錄裡,不然會被IIS當然正常的global.asa檔進行嘗試運行的。
全站熱搜
留言列表
