随着Internet发展Web技术日新月异继通用网关接口(CGI)的后“ASP”(Active Server Pages)作为种典型服务器端网页设计技术被广泛地应用在网上银行、电子商务、搜索引擎等各种互联网应用中同时Access数据库作为微软推出以标准JET为引擎桌面型数据库系统由于具有操作简单、界面友好等特点具有较大用户群体因此ASP＋Access成为许多中小型网上应用系统首选方案但ASP＋Access解决方案在为我们带来便捷同时也带来了不容忽视安全问题
ASP＋Access安全隐患
ASP＋Access解决方案主要安全隐患来自Access数据库安全性其次在于ASP网页设计过程中安全漏洞
1.Access数据库存储隐患
在ASP＋Access应用系统中如果获得或者猜到Access数据库存储路径和数据库名则该数据库就可以被下载到本地例如:对于网上书店Access数据库人们般命名为book.mdb、store.mdb等而存储路径般为“URL/database”或干脆放在根目录(“URL/”)下这样只要在浏览器地址栏中敲入地址:“URL/database/store.mdb”就可以轻易地把store.mdb下载到本地机器中
2.Access数据库解密隐患
由于Access数据库加密机制非常简单所以即使数据库设置了密码解密也很容易该数据库系统通过将用户输入密码和某固定密钥进行异或来形成个加密串并将其存储在＊.mdb文件中从地址“＆H42”开始区域内由于异或操作特点是“经过两次异或就恢复原值”因此用这密钥和＊.mdb文件中加密串进行第 2次异或操作就可以轻松地得到Access数据库密码基于这种原理可以很容易地编制出解密
由此可见无论是否设置了数据库密码只要数据库被下载其信息就没有任何安全性可言了
3.源代码安全隐患
由于ASP采用是非编译性语言这大大降低了源代码安全性任何人只要进入站点就可以获得源代码从而造成ASP应用源代码泄露
4.设计中安全隐患　　
ASP代码利用表单(form)实现和用户交互功能而相应内容会反映在浏览器地址栏中如果不采用适当安全措施只要记下这些内容就可以绕过验证直接进入某页面例如在浏览器中敲入“……page.asp?x=1”即可不经过表单页面直接进入满足“x=1”条件页面因此在设计验证或注册页面时必须采取特殊措施来避免此类问题发生
提高数据库安全性
由于Access数据库加密机制过于简单因此如何有效地防止Access数据库被下载,就成了提高ASP＋Access解决方案安全性重中的重
1.非常规命名法
防止数据库被找到简便思路方法是为Access数据库文件起个复杂非常规名字并把它存放在多层目录下例如对于网上书店数据库文件不要简单地命名为“book.mdb”或“store.mdb”而是要起个非常规名字例如:faq19jhsvzbal.mdb再把它放在如./akkjj16t/kjhgb661/acd/avccx55 的类深层目录下这样对于些通过猜方式得到Access数据库文件名非法访问思路方法起到了有效阻止作用
2.使用ODBC数据源
在ASP设计中应尽量使用ODBC数据源不要把数据库名直接写在中否则数据库名将随ASP源代码失密而同失密例如:
DBPath = Server.MapPath(“./akkjj16t/
kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)
conn.Open “driver={Microsoft Access Driver (＊.mdb)};dbq=” ＆ DBPath
可见即使数据库名字起得再怪异隐藏目录再深ASP源代码失密后数据库也很容易被下载下来如果使用ODBC数据源就不会存在这样问题了:
conn.open “ODBC－DSN名”
对ASP页面进行加密
为有效地防止ASP源代码泄露可以对ASP页面进行加密般有两种思路方法对ASP页面进行加密种是使用组件技术将编程逻辑封装入DLL的中；另种是使用微软Script Encoder对ASP页面进行加密笔者认为使用组件技术存在主要问题是每段代码均需组件化操作比较烦琐工作量较大；而使用Script Encoder对ASP页面进行加密操作简单、收效良好Script Encoder思路方法具有许多优点:
1.HTML仍具有很好可编辑性Script Encoder只加密在HTML页面中嵌入ASP代码其他部分仍保持不变这就使得我们仍然可以使用FrontPage或Dreamweaver等常用网页编辑工具对HTML部分进行修改、完善只是不能对ASP加密部分进行修改否则将导致文件失效
2.操作简单只要掌握几个命令行参数即可Script Encoder运行是screnc.exe其使用思路方法如下:
screnc [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile
其中参数含义如下:
s:屏蔽屏幕输出；
f:指定输出文件是否覆盖同名输入文件；
xl:是否在.asp文件顶部添加@Language指令；
l:defLanguag指定缺省脚本语言；
e:defExtension 指定待加密文件扩展名
3.可以批量加密文件使用Script Encoder可以对当前目录中所有ASP 文件进行加密并把加密后文件统输出到相应目录中例如:
screnc ＊.asp c:\\temp
4. Script Encoder是免费软件Software该加密软件Software可以从微软网站WebSite下载:http://msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe下载后运行安装即可
利用Session对象进行注册验证
为防止未经注册用户绕过注册界面直接进入应用系统可以采用Session对象进行注册验证Session对象最大优点是可以把某用户信息保留下来让后续网页读取例如要设计如图1所示注册页面

图1 注册页面
设计要求用户注册成功后系统启动hrmis.asp?page=1页面如果不采用Session对象进行注册验证则用户在浏览器中敲入“URL/hrmis.asp?page=1”即可绕过注册界面直接进入系统利用Session对象可以有效阻止这情况发生相关代码如下:
<％
@# 读取用户输入账号和密码
UserID = Request(“UserID”)
Password = Request(“Password”)
@# 检查UserID 及Password 是否正确(实际可能会比较复杂)
If UserID <>“hrmis” Or Password <>
“password” Then
Response.Write “账号！”
Response.End
End If
@#将Session 对象设置为通过验证状态


Session(“Passed”) = True
％>
进入应用后首先进行验证:
<％
@#如果未通过验证返回Login状态
If Not Session(“Passed”) Then
Response.Redirect “Login.asp”
End If
％>