九种防MDB数据库被下载的方法小结(2)

　　 加密后要修改数据库连接页， 如： 
conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=数据库密码;dbq=数据库路径" 
　　 这样修改后，数据库即使被人下载了，别人也无法打开（前提是你的数据库连接页中的密码没有被泄露） 
　　 但值得注意的是，由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串，并将其存储在*.mdb文件从地址“&H42”开始的区域内。所以一个好的程序员可以轻松制作一个几十行的小程序就可以轻松地获得任何Access数据库的密码。因此，只要数据库被下载，其信息安全依然是个未知数。 

5.数据库放在WEB目录外或将数据库连接文件放到其他虚拟目录下 
　　 如你的WEB目录是e:\webroot，可以把数据库放到e:\data这个文件夹里，在e:\webroot里的数据库连接页中修改数据库连接地址为："../data/数据库名" 的形式，这样数据库可以正常调用，但是无法下载的，因为它不在WEB目录里！这个方法一般也不适合购买虚拟空间的用户。 

6.使用ODBC数据源。 
　　 在ASP等程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密，例如： DBPath = Server.MapPath(“../123/abc/asfadf.mdb ”) 
conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath 
　　 可见，即使数据库名字起得再怪异，隐藏的目录再深，ASP源代码失密后，也很容易被下载下来。如果使用ODBC数据源，就不会存在这样的问题了： conn.open “ODBC-DSN名” ,不过这样是比较烦的，目录移动的话又要重新设置数据源了，更方便的方法请看第7，8法！ 

7.添加数据库名的如MDB的扩展映射 
　　 这个方法就是通过修改IIS设置来实现，适合有IIS控制权的朋友，不适合购买虚拟主机用户(除非管理员已经设置了）。这个方法我认为是目前最好的。只要修改一处，整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载。 
　　 我们在IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL（或EXE等）似乎也不是任意的，选择不当，这个MDB文件还是可以被下载的， 注意最好不要选择选择asp.dll等。你可以自己多测试下 
　　 这样修改后下载数据库如： http://www.test.com/data/dvbbs6.mdb 。就出现（404或500等错误）