問：在網(wǎng)絡(luò)數(shù)據(jù)庫站點檢索信息時往往需要驗證用戶的合法性，請分析這樣的站點有哪幾種技術(shù)保護措施？

答: 身為一個網(wǎng)管，都知道數(shù)據(jù)庫就是網(wǎng)站的核心機密，黑客的目的往往也是數(shù)據(jù)庫，所以保護數(shù)據(jù)庫是刻不容緩的。

前人總結(jié)的方法如下：

1.發(fā)揮你的想象力 修改數(shù)據(jù)庫文件名

不用說，這是最最偷懶的方法，但是若攻擊者通過第三方途徑獲得了數(shù)據(jù)庫的路徑)，就玩完了。比如說攻擊者本來只能拿到list權(quán) ，結(jié)果意外看到了數(shù)據(jù)庫路徑，就可以冠冕堂皇地把數(shù)據(jù)庫下載回去研究了。另外，數(shù)據(jù)文件通常大小都比較大，起再隱蔽的文件名都瞞 不了人。故保密性為最低。

2.數(shù)據(jù)庫名后綴改為ASA、ASP等

此法須配合一些要進行一些設(shè)置，否則就會出現(xiàn)本文開頭的那種情況

(1)二進制字段添加(此招我還沒有煉成-_- )。

(2)在這個文件中加入，IIS就會按ASP語法來解析，然后就會報告500錯誤，自然不能下載了。可是 如果只是簡單的在數(shù)據(jù)庫的文本或者備注字段加入<%是沒用的，因為ACCESS會對其中的內(nèi)容進行處理，在數(shù)據(jù)庫里他會以 < %的形式存在，無效！正確的方法是將<%存入OLE對象字段里，這樣我們的目的就能達(dá)到了。&nbs p;

作方法：

首先，用notepad新建一個內(nèi)容為 <% 的 文本文件，隨便起個名字存檔。

接著，用Access打開您的數(shù)據(jù)庫文件，新建一個表，隨便起個名字，在表中添加一個OLE對象的字段，然后添加一個記錄， 插入之前建立的文本文件，如果操作正確的話，應(yīng)該可以看到一個新的名為"數(shù)據(jù)包"的記錄。即可

3.數(shù)據(jù)庫名前加"#"

只需要把數(shù)據(jù)庫文件前名加上#、然后修改數(shù)據(jù)庫連接文件（如conn.asp）中的數(shù)據(jù)庫地址。原理是下載的時候只能識別& nbsp;#號前名的部分，對于后面的自動去掉，比如你要下載：http://www. mb5u.com/date/# 123.mdb(假設(shè)存在的話）。無論是IE還是FLASHGET等下到的都是http://www.test.com/dat e/index.htm(index.asp、default.jsp等你在IIS設(shè)置的首頁文檔)

另外在數(shù)據(jù)庫文件名中保留一些空格也起到類似作用，由于HTTP協(xié)議對地址解析的特殊性，空格會被編碼為"%",如http ://www.test.com/date/123 ;456.mdb，下載的時http://www. test.com/date/123 E6.mdb。而我們的目錄就根本沒有123E6.mdb這個文件，所 以下載也是無效的這樣的修改后，即使你暴露了數(shù)據(jù)庫地址，一般情況下別人也是無法下載！