这个方法是PCWHY.ORG目前正在使用的,强烈推荐之。比方说,你的WEB目录是D:\wwwroot,那么你可以将数据库放到D:\databases这个文件夹里,然后修改D:\wwwroot里的数据库连接文件,将数据库连接地址修改为:"../databases/数据库名" 的形式,这样数据库也可以正常调用,但是就无法下载了,因为它不存在于wwwroot目录里!这个方法一般不适合于购买虚拟主机的用户。当然,现在的多数虚拟主机程序在wwwroot目录平行位置,已经都有独立的databases目录了,这样子处理后相对来说是最安全的。因为在http环境下,根本没有 url可以指向这个目录。除非黑了整台主机!
防范措施六:学会使用ODBC数据源。
在ASP等程序设计中,假如技术条件允许,应当尽量使用ODBC数据源,不要将数据库名写进程序中,否则,数据库名将跟随Asp源代码一同失密,即使你的数据库名字起得再怪异,隐藏的目录再深,也可能很轻易被下载下来。假如使用了ODBC数据源,就不会存在这样的问题了:conn.open “ODBC-DSN名” ,不过这样是比较繁琐的,目录移动的话就要重新设置,更方便的方法请看下面吧!使用ODBC数据源处理的结果有一点不好,就是效率很低,速度会变慢,迁移也不方便。因此虽然安全,也不提倡。
防范措施七:添加数据库名的扩展映射
这个方法就是通过修改IIS设置来实现的,适合有IIS控制权的同学使用,不适合购买虚拟主机的用户(除非技术已经设置了)。但这个方法我认为是目前最好最可靠的。只要修改一处,整个站点的数据库都可以防止被下载,而无须修改代码,即使暴露目标地址也无妨。
操作:在 “IIS属性——主目录——配置——映射——应用程序扩展”那里添加如.mdb文件的应用解析。注意,这里的选择的DLL(或EXE等)似乎也不是任意的,选择不当,这个MDB文件还是可以被下载的,最好不要选择asp.dll等。你可以自己多测试几下。经过这样的修改后,下载数据库如:http://www.xxk123.com/data/123.mdb,就会出现404或500等错误。
防范措施八:懂得利用.net的优越性
动网的木鸟就写过一个防非法下载文件的“WBAL防盗链工具”。不过它只实现了防非本地下载的,没有起到真正的防下载数据库的功能。但这个方法已经跟措施五差不多,可以通过修改.NET文件,实现本地也不能下载!
最后总结:这几个措施中,只有七和八是统一性改的,一次修改配置后,整个站点的数据库都可以防下载,其他的几个措施就要分别修改数据库名和数据库连接文件了,比较麻烦,不过对于使用虚拟主机的朋友而言,也只能这样了!另外,其实第六个措施应该是第五个措施的扩展,可以实现非凡的功能,但如果对不支持.net的主机或怕设置麻烦的人而言,还是直接用第五种措施好了。