计算机毕业设计介绍:
4.2.2提高数据库的安全性
由于SQL数据库加密机制过于简单,因此,如何有效地防止SQL数据库被下载,就成了提高ASP.NET+SQL解决方案安全性的重中之重。
1)非常规命名法
防止数据库被找到的简便方法是为SQL数据库文件起一个复杂的非常规名字,并把它存放在多层目录下。例如,对于网上书店的数据库文件,不要简单地命名为“book.mdf”或“store.mdf”,而是要起个非常规的名字,例如:faq19jhsvzbal.mdf,再把它放在如./akkjj16t/kjhgb661/acd/avccx55 之类的深层目录下。这样,对于一些通过猜的方式得到SQL数据库文件名的非法访问方法起到了有效的阻止作用。
2)ODBC数据源
在ASP程序设计中,应尽量使用ODBC数据源,不要把数据库名直接写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。例如:
DBPath =Server.MapPath("./akkjj16t/kjhgb661/acd/avccx55/faq19jhsvzbal.mdf ")
conn.Open "driver={Microsoft SQL Driver (*.mdf)};dbq="&DBPath
可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,数据库也很容易被下载下来。如果使用ODBC数据源,就不会存在这样的问题了:
conn.open "ODBC-DSN名"
3)利用Session对象进行注册验证
为防止未经注册的用户绕过注册界面直接进入应用系统,可以采用Session对象进行注册验证。Session对象最大的优点是可以把某用户的信息保留下来,让后续的网页读取。比如:设计要求用户注册成功后系统启动hrmis.asp?page=1页面。如果不采用Session对象进行注册验证,则用户在浏览器中敲入“URL/hrmis.asp?page=1”即可绕过注册界面,直接进入系统。利用Session对象可以有效阻止这一情况的发生。
<责任编辑:计算机毕业设计网(http://www.xiaoniu168.com)>