文章《
改mdb为asp所带来的灾难》中描写了把mdb改成asp后可能带来的问题,可见只是更改文件名是不够的。我们必须再多做些工作来保证安全性。
我们可以通过如下的方法,完善这种方案。
用ultraedit以二进制方式打开mdb文件时,我们会看到,文件开头是一些关于文件类型的数据,之后就是很长的空白数据,二进制显示为“00 00 00 ...”。这些空白数据数据库不会用到,如果我们在这里做些修改并不会影响数据库的功能。因此,我们可以在这里加入一些ASP指令来防止《
改mdb为asp所带来的灾难》所描述的攻击方式。比如,最简单的就是加入如下语句:<% response.end %>。那么在企图下载数据库文件时,得到的数据将只是加入的ASP指令之前的数据。
这样,更改mdb文件为asp文件以保护数据库的方案就比较完美了。