一���、新手常犯的錯(cuò)誤
在論壇看到很多帖子代碼中都有一個(gè)共同的基本錯(cuò)誤�����,字段類型錯(cuò)誤���。
程序和數(shù)據(jù)庫是緊緊相連的,數(shù)據(jù)庫字段文本型或時(shí)間型的都使用單引號(hào)
比如下面這段修改語句:
conn.execute "update Counts set counts='"&counts&"' where num="&num&" and Atime='"&now()&"'"
等號(hào)左邊都是字段名���,等號(hào)右邊是傳值過來的變量名����,counts 字段是文本型���,所以寫入時(shí)必須前后加單引號(hào)�,無論是寫入還是查詢都一樣���,后面的查尋語句中���,num 字段是數(shù)字型��,所以前后就沒有單引號(hào)了�,Atime 字段是時(shí)間型所以前后也要加單引號(hào)�。
最重要的是以ID查詢,ID字段是唯一的并且數(shù)字類型�����,很明顯查詢ID號(hào)時(shí)前后也不能有單引號(hào)
conn.execute "update Counts set counts='"&counts&"' where id='"&id&"'" '錯(cuò)誤寫法
conn.execute "update Counts set counts='"&counts&"' where id="&id '正確寫法
二�����、ACCESS 數(shù)據(jù)庫連接
通常數(shù)據(jù)庫連接有兩種方式��,新手基本不知道用哪一種方式�,或者在什么情況下用哪一種����,又或者不知道兩者的原理
①直接連接數(shù)據(jù)庫文件
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&Server.MapPath("database/yanhang.mdb")
②通過數(shù)據(jù)源來連接數(shù)據(jù)庫文件
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("database/yanhang.mdb")
那么,兩者到底哪一個(gè)好呢���,當(dāng)然是第二種�,因?yàn)榈谝环N其實(shí)就是客戶端瀏覽器直接讀取數(shù)據(jù)庫的,所以安全方面差很多�����,第二種通過數(shù)據(jù)源連接��,是以服務(wù)器數(shù)據(jù)源工具連接的���,與客戶端沒關(guān)系�����,所以數(shù)據(jù)庫不會(huì)暴露給客戶端��,安全系數(shù)高很多����。
ACCESS 數(shù)據(jù)庫對(duì)應(yīng)程序的應(yīng)用:①直接連接數(shù)據(jù)庫文件
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&Server.MapPath("database/yanhang.mdb")
這樣的數(shù)據(jù)庫連接方式��,添加語句:
set rs=server.createobject("adodb.recordset") '(正確寫法)
rs.open "select * from dndj",conn,1,3
rs.addnew
rs("bh") = bh
rs("bm") = bm
rs("xm") = xm
rs("xsq") = xsq
rs.update
rs.close
set rs=nothing
set rs=server.createobject("adodb.recordset") '(錯(cuò)誤寫法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3
ACCESS 數(shù)據(jù)庫對(duì)應(yīng)程序的應(yīng)用:②通過數(shù)據(jù)源來連接數(shù)據(jù)庫文件
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("database/yanhang.mdb")
這樣的數(shù)據(jù)庫連接方式���,添加語句:
conn.execute "insert into dndj(bh,bm,xm,xsq) values('"&bh&"','"&bm&"','"&xm&"','"&xsq&"')" '(正確寫法)
set rs=server.createobject("adodb.recordset") '(錯(cuò)誤寫法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3
三�����、雙引號(hào)的應(yīng)用
通常我們寫超級(jí)連接這樣 <a href="abc.asp?id=<%=rs("id")%>">超級(jí)連接</a>
但要是把這個(gè)超級(jí)連接編譯進(jìn)asp里面呢
response.write "<a href=""abc.asp?id="&rs("id")&""">超級(jí)連接</a>" '(正確寫法)
response.write "<a href='abc.asp?id="&rs("id")&"'>超級(jí)連接</a>" '(正確寫法)
response.write "<a href=abc.asp?id="&rs("id")&">超級(jí)連接</a>" '(正確寫法)
response.write "<a href="abc.asp?id=<%=rs("id")%>">超級(jí)連接</a>" '(錯(cuò)誤寫法)
response.write "<a href="abc.asp?id="&rs("id")&"">超級(jí)連接</a>" '(錯(cuò)誤寫法)
表單編譯進(jìn)asp里 <input type="text" name="id" value="<%rs("id")%>" />
response.write "<input type=""text"" name=""id"" value="""&rs("id")&""" />" '(正確寫法) 注意:這里有三個(gè)雙引號(hào)
response.write "<input type='text' name='id' value='"&rs("id")&"' />" '(正確寫法)
response.write "<input type=text name=id value="&rs("id")&" />" '(正確寫法)
response.write "<input type="text" name="id" value="<%=rs("id")%>" />" '(錯(cuò)誤寫法)
response.write "<input type="text" name="id" value=""&rs("id")&"" />" '(錯(cuò)誤寫法)
四��、防止ACCESS數(shù)據(jù)庫被下載的幾個(gè)方法
很多動(dòng)態(tài)站點(diǎn)大量應(yīng)用了數(shù)據(jù)庫�����,數(shù)據(jù)庫理所當(dāng)然成了一個(gè)站點(diǎn)的核心文件�。一旦數(shù)據(jù)庫被非法下載,極有可能被惡意人士破壞網(wǎng)站���?���;蛘吒`取資料��。
下面提供的方法分別適用使用虛擬主機(jī)空間的用戶和有IIS控制權(quán)的用戶����!
一:購買虛擬主機(jī)空間的�,適合沒有IIS控制權(quán)
1:發(fā)揮你的想象力 修改數(shù)據(jù)庫文件名
這個(gè)是最基本的。我想現(xiàn)在也沒有多少連數(shù)據(jù)庫文件名都懶得改的人吧����? 至于改成什么�,你自己看著辦���,至少要保證文件名復(fù)雜�,不可猜測(cè)性����。當(dāng)然這個(gè)時(shí)候你的數(shù)據(jù)庫所在目錄是不能開放目錄瀏覽權(quán)限的!
2:數(shù)據(jù)庫名后綴改為ASA�����、ASP等
這個(gè)聽說很流行�,不過我測(cè)試了好多次,發(fā)現(xiàn)并不理想���,如果真正要起到防止下載的作用�,要進(jìn)行一些二進(jìn)制字段添加等設(shè)置�����,一句話�,繁而復(fù)雜(如果你的數(shù)據(jù)庫有很多的話,這個(gè)方法實(shí)在不是很好)
3:數(shù)據(jù)庫名前加“#”
只需要把數(shù)據(jù)庫文件前名加上#、然后修改數(shù)據(jù)庫連接文件(如conn.asp)中的數(shù)據(jù)庫地址��。原理是下載的時(shí)候只能識(shí)別 #號(hào)前名的部分���,對(duì)于后面的自動(dòng)去掉����,比如你要下載:http://bbs.bccn.net/date/#123.mdb(假設(shè)存在的話)���。無論是IE還是FLASHGET等下到的都是http://bbs.bccn.net/date/index.htm
另外在數(shù)據(jù)庫文件名中保留一些空格也起到類似作用���,由于HTTP協(xié)議對(duì)地址解析的特殊性,空格會(huì)被編碼為"%20",如http://bbs.bccn.net/date/123 456.mdb
下載時(shí)http://bbs.bccn.net/date/123%20456.mdb�����。而我們的目錄就根本沒有123%20456.mdb這個(gè)文件�,所以下載也是無效的,即使你暴露了數(shù)據(jù)庫地址����,一般情況下別人也是無法下載����,最好兩種方法同時(shí)使用“#”+空格���,例如 http://bbs.bccn.net/date/#123 456.mdb
4:加密數(shù)據(jù)庫
用ACCESS將你的數(shù)據(jù)庫以獨(dú)占方式打開后,在工具-安全-設(shè)置數(shù)據(jù)庫密碼��,加密后要修改數(shù)據(jù)庫連接頁��, 如:
conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=數(shù)據(jù)庫密碼;dbq=數(shù)據(jù)庫路徑"
這樣修改后��,數(shù)據(jù)庫即使被人下載了�����,別人也無法打開(前提是你的數(shù)據(jù)庫連接頁中的密碼沒有被泄露)
但值得注意的是����,由于Access數(shù)據(jù)庫的加密機(jī)制比較簡(jiǎn)單,即使設(shè)置了密碼���,解密也很容易���。該數(shù)據(jù)庫系統(tǒng)通過將用戶輸入的密碼與某一固定密鑰進(jìn)行“異或”來形成一個(gè)加密串,并將其存儲(chǔ)在*.mdb文件從地址“&H42”開始的區(qū)域內(nèi)�����。所以一個(gè)好的程序員可以輕松制作一個(gè)幾十行的小程序就可以輕松地獲得任何Access數(shù)據(jù)庫的密碼。因此����,只要數(shù)據(jù)庫被下載,其安全依然是個(gè)未知數(shù)���。
二:有主機(jī)控制權(quán) (當(dāng)然虛擬空間的設(shè)置在這里依然可以用)
5:數(shù)據(jù)庫放在WEB目錄外
如你的WEB目錄是e:\webroot�����,可以把數(shù)據(jù)庫放到e:\data這個(gè)文件夾里�,在e:\webroot里的數(shù)據(jù)庫連接頁中
修改數(shù)據(jù)庫連接地址為:"../data/#123 456.mdb" 的形式�����,這樣數(shù)據(jù)庫可以正常調(diào)用����,但是無法下載的,因?yàn)樗辉赪EB目錄里���!這個(gè)方法一般也適合購買虛擬空間的用戶�。
6:使用ODBC數(shù)據(jù)源����。
在ASP等程序設(shè)計(jì)中,如果有條件�����,應(yīng)盡量使用ODBC數(shù)據(jù)源�����,不要把數(shù)據(jù)庫名寫在程序中�,否則,數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密
例如:
conn.open "driver={Microsoft Access Driver (*.mdb)};dbq="&Server.MapPath("../123/abc/asfadf.mdb")
可見��,即使數(shù)據(jù)庫名字起得再怪異�,隱藏的目錄再深,ASP源代碼失密后��,也很容易被下載下來����。
如果使用ODBC數(shù)據(jù)源,就不會(huì)存在這樣的問題了:conn.open "ODBC-DSN名" ,不過這樣是比較煩的����,目錄移動(dòng)的話又要重新設(shè)置數(shù)據(jù)源了��!
7:添加數(shù)據(jù)庫名的如MDB的擴(kuò)展映射
這個(gè)方法就是通過修改IIS設(shè)置來實(shí)現(xiàn)����,適合有IIS控制權(quán)的朋友����,不適合購買虛擬主機(jī)用戶(除非管理員已經(jīng)設(shè)置了)。這個(gè)方法我認(rèn)為是目前最好的���。只要修改一處���,整個(gè)站點(diǎn)的數(shù)據(jù)庫都可以防止被下載。無須修改代碼即使暴露目標(biāo)地址也可以防止下載��。
設(shè)置:
在 IIS屬性---主目錄---配置---映射---應(yīng)用程序擴(kuò)展那里添加.mdb文件的應(yīng)用解析����。注意這里的選擇的DLL(或EXE等)似乎也不是任意的,選擇不當(dāng)�����,這個(gè)MDB文件還是可以被下載的, 注意最好不要選擇選擇asp.dll等�。你可以自己多測(cè)試下
這樣修改后下載數(shù)據(jù)庫如:http://bbs.bccn.net/data/dvbbs6.mdb。就出現(xiàn)(404或500等錯(cuò)誤)
8:使用.net的優(yōu)越性
動(dòng)網(wǎng)的木鳥就寫過一個(gè)防非法下載文件的“WBAL 防盜鏈工具”���。記得本論壇曾經(jīng)也有位牛人也發(fā)表過數(shù)據(jù)庫防下載的插件,是.dll的加載到IIS里的�。
不過 那個(gè)只實(shí)現(xiàn)了防止非本地下載的 ,沒有起到真正的防下載數(shù)據(jù)庫的功能��。不過這個(gè)方法跟第5種差不多
可以通過修改.NET文件��,實(shí)現(xiàn)本地也不能下載����!
這幾個(gè)方法中,只有第7和8個(gè)是統(tǒng)一性改的�����,一次修改配置后�,整個(gè)站點(diǎn)的數(shù)據(jù)庫都可以防止下載,其他幾個(gè)就要分別修改數(shù)據(jù)庫名和連接文件�����,比較麻煩,不過對(duì)于虛擬主機(jī)的朋友也只能這樣了��!
其實(shí)第6種方法應(yīng)該是第5種方法的擴(kuò)展��,可以實(shí)現(xiàn)特殊的功能��,但對(duì)于不支持.net的主機(jī)或者怕設(shè)置麻煩的話���,還是直接用第5種方法了�,而且默認(rèn)情況下第6種方法��,依然可以通過復(fù)制連接到同主機(jī)的論壇或留言本發(fā)表����,然后就可以點(diǎn)擊下載了(因?yàn)檫@樣的引用頁是來自同主機(jī)的)
這幾個(gè)方法各有長(zhǎng)短,請(qǐng)自己選擇性地使用�����。這些方法也不是絕對(duì)的安全���,還需要網(wǎng)站管理員平時(shí)注意一些系統(tǒng)的安全�����,以及寫ASP代碼本身的安全 ���,否則依然有可能被人下載或者修改數(shù)據(jù)庫����!
該文章在 2011/2/16 12:00:52 編輯過
400 186 1886
