1.過濾所有客戶端提交內容,包括?id=N一類,還有提交的html代碼中的操作數據庫的語名如select,及asp文件操作語法,可把提交的字付轉義,再存入數據庫

2.對訪問Access數據庫的頁面進行授權,如對顯示數據頁面只能使用select語句,過濾別的什么update,asp文件分為許可訪問數據庫頁面和限制訪問頁.

3.修改數庫據連接文件名conn.asp為類似123ljuvo345l3kj34534v.asp文件

4.修改數據庫名為類似q397d0394pjsdlkfgjwetoiu.asp文件

5.給Access數據庫加上連接密碼(雖然可以破解,對付菜鳥,和防止上傳文件無限制連接數據庫)

6.用Access軟件對數據庫進行編碼加密

7.用md5等加密算法加密用戶密碼,密碼提示問題一類的字段

8.限制搜索引擎對相關頁面的搜索

9.防止數據庫被下載工具下載,如在數據庫里加入<%response.end%>等防止向客戶端輸出的語句

10做好asp上傳文件模板的安全管理,防止上傳asp木馬

11.拒絕客戶端訪問數據庫存連接文件,只準服務器asp文件訪問

12.限制同一客戶端ip訪問數據庫次數

13.如有必要對存入數據庫的內容進行加密,返回給客戶端進行解密,就算數據庫被下載了,也不可能輕易得到加密的原始內容

14.對連接服務的頭內容進行限制,如只許可ie,火狐瀏覽訪問


15.防止通過文件查看方式,得到數據庫信息,可用客戶端輸入密碼,對密碼和內容,用一定算法存入數據庫,輸出時,讓客戶端輸入密碼,對內容進行解密


16.把表名和字段名改為aslkejrwoieru,werkuwoeiruwe類似的字符


17.防止在數據庫里加入<%代碼塊%>讓改名為.asp的數據執(zhí)行,可轉義<%字符再存入數據庫,在每個表中,輸入<%response.redirct("http://www.qqmo.com")%><%set sdflkjsd=welrkjwel<><><%>代碼等讓asp執(zhí)行出錯的內容

18.有條件的最好用odbc連接數據庫,并加上連接密碼

最新評論