問：在網絡數據庫站點檢索信息時往往需要驗證用戶的合法性，請分析這樣的站點有哪幾種技術保護措施？

答: 身為一個網管，都知道數據庫就是網站的核心機密，黑客的目的往往也是數據庫，所以保護數據庫是刻不容緩的。

前人總結的方法如下：

1.發揮你的想象力 修改數據庫文件名

不用說，這是最最偷懶的方法，但是若攻擊者通過第三方途徑獲得了數據庫的路徑)，就玩完了。比如說攻擊者本來只能拿到list權 ，結果意外看到了數據庫路徑，就可以冠冕堂皇地把數據庫下載回去研究了。另外，數據文件通常大小都比較大，起再隱蔽的文件名都瞞 不了人。故保密性為最低。

2.數據庫名后綴改為ASA、ASP等

此法須配合一些要進行一些設置，否則就會出現本文開頭的那種情況

(1)二進制字段添加(此招我還沒有煉成-_- )。

(2)在這個文件中加入，IIS就會按ASP語法來解析，然后就會報告500錯誤，自然不能下載了。可是 如果只是簡單的在數據庫的文本或者備注字段加入<%是沒用的，因為ACCESS會對其中的內容進行處理，在數據庫里他會以 < %的形式存在，無效！正確的方法是將<%存入OLE對象字段里，這樣我們的目的就能達到了。&nbs p;

作方法：

首先，用notepad新建一個內容為 <% 的 文本文件，隨便起個名字存檔。

接著，用Access打開您的數據庫文件，新建一個表，隨便起個名字，在表中添加一個OLE對象的字段，然后添加一個記錄， 插入之前建立的文本文件，如果操作正確的話，應該可以看到一個新的名為"數據包"的記錄。即可

3.數據庫名前加"#"

只需要把數據庫文件前名加上#、然后修改數據庫連接文件（如conn.asp）中的數據庫地址。原理是下載的時候只能識別& nbsp;#號前名的部分，對于后面的自動去掉，比如你要下載：http://www. mb5u.com/date/# 123.mdb(假設存在的話）。無論是IE還是FLASHGET等下到的都是http://www.test.com/dat e/index.htm(index.asp、default.jsp等你在IIS設置的首頁文檔)

另外在數據庫文件名中保留一些空格也起到類似作用，由于HTTP協議對地址解析的特殊性，空格會被編碼為"%",如http ://www.test.com/date/123 ;456.mdb，下載的時http://www. test.com/date/123 E6.mdb。而我們的目錄就根本沒有123E6.mdb這個文件，所 以下載也是無效的這樣的修改后，即使你暴露了數據庫地址，一般情況下別人也是無法下載！