海关个人物品税率:asp脚本安全国内外的发展概况及存在的问题

数据库连接文件的安全需要注意什么？数据库连接文件必须以.asp为后缀，文件名最好为conn.asp。

涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接用户名与口令应给予最小的权限。

出现次数多得用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接，理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户以修改、插入、删除记录的权限。

如何在脚本编程中防止SQL注入漏洞？提交表单时过滤用户输入的非法字符信息，防止SQL注入漏洞。在处理输入框的ASP程序中，最好屏蔽掉HTML、JavaScript、VBScript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查。

输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏； 如果该输入框涉及到数据查询，他们会利用特殊查询输入得到更多的数据库数据，甚至是表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过，因此必须在服务器端再做一次检查。

对于ASP来说，可以使用下面这个过滤函数：

Function Filter_SQL(strData)

Dim strFilter

Dim blnFlag

Dim i

strFilter="',;,//,--,@,_,exec,declare" '需要过滤的字符，可以自己添加，","是分隔符

blnFlag=Flase '过滤标志，如果产生过滤，那么就是真

Dim arrayFilter

arrayFilter=Split(strFilter,",")

For i=0 To UBound(arrayFilter)

If Instr(strData,arrayFilter(i))>0 Then

blnFlag=True

Exit For

End If

Next

If blnFlag Then

Response.Redirect "wrong.asp"

'当发现有过滤操作时，导向一个预定页面。反正正常访问用不到的连接请求，总不是好事情。

Else

Filter_SQL=strData

End If

End Function

需要经过验证的ASP页面，需要跟踪上一个页面的文件名需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

现在的需要经过验证的ASP程序多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入，因此有必要跟踪上一个页面。

下面是用Javascript语句写的检测语句：

var fromwhere;

fromwhere=document.referrer;

if (fromwhere!="aaa.asp"){};

如何防止.inc文件泄露问题？当存在asp 的主页正在制作并没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象，如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。

程序员应该在网页发布前对其进行彻底的调试；安全专家需要固定asp 包含文件以便外部的用户不能看他们。 首先对 .inc 文件内容进行加密，其次也可以使用 .asp 文件代替 .inc 文件使用户无法从浏览器直接观看文件的源代码。.inc 文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的，尽量使用无规则的英文字母。

如何防止自动备份asp文件漏洞？注意某些ASP编辑器会自动备份asp文件，会被下载的漏洞

在有些编辑asp程序的工具，当创建或者修改一个asp文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个..bak文件，如你创建或者修改了some.asp，编辑器自动生成一个叫some.asp.bak文件，如果你没有删除这个 bak文件，攻击有可以直接下载some.asp.bak文件，这样some.asp的源程序就会给下载。

如何防止ACCESS mdb 数据库有可能被下载的漏洞？在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。

解决方法如下：

(1) 为你的数据库文件名称起个复杂的非常规的名字，并把他放在几目录下。所谓 "非常规"， 打个比方： 比如有个数据库要保存的是有关书籍的信息， 可不要把他起个"book.mdb"的名字，起个怪怪的名称，比如#d34ksfslf.asp， 再把他放在如./kdslf/i44/studi/ 的几层目录下，这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。

另外，你也可以把数据库的后缀改为.asp，这样效果更好。

(2) 不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：

DBPath = Server.MapPath("cmddb.mdb")

conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath

假如万一给人拿到了源程序，你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源，再在程序中这样写：

conn.open "shujiyuan"

(3) 使用ACCESS来为数据库文件编码及加密。首先在选取 "工具->安全->加密/解密数据库，选取数据库（如：employer.mdb），然后接确定，接着会出现 "数据库加密后另存为"的窗口，存为：employer1.mdb。 接着employer.mdb就会被编码，然后存为employer1.mdb..

要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。

接下来我们为数据库加密，首先以打开经过编码了的 employer1.mdb， 在打开时，选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码"， 接着 输入密码即可。这样即使他人得到了employer1.mdb文件，没有密码他是无法看到 employer1.mdb的。

运行ASP文件时有什么安全措施？ASP提供了很好的代码保护机制，所有的ASP代码都在服务器端执行而只返回给客户端代码执行结果。但仍不排除恶意人士对Web服务器的刻意破坏，所以在编写ASP文件时更要注意安全问题。

虽然在ASP中引入文件以inc作为扩展名，在这里仍建议以ASP作为引文件的扩展名。当这些代码在安全机制不好的Web Server上运行时，只需在地址栏上输入引入文件的地址(inc为扩展名)，就可以浏览该引入文件的内容，这是由于在Web Server上，如果没有定义好解析某类型（比如inc）的动态连接库时，该文件以源码方式显示。

另外，不要把数据库文件放在网站结构内部，这样，当恶意人士获取数据库路径后，就可以轻易获取该数据库，进而肆意更改数据库内容。比较好的做法是，为数据库建立数据源名称DSN（Date Source Name），在DSN中存储了有关连接到指定数据提供者的信息，包括：“数据库的物理位置，用于访问数据库的驱动程序的类型，访问数据库的驱动程序所需要的任何其他参数”，在进行数据库访问时可以直接访问该DSN。

如何保护自己的ASP源代码不泄露？下载微软的Windows Script Encoder，对ASP的脚本和客户端javascript、VBScript脚本进行加密。客户端脚本加密后，只有IE5以上的版本才能执行，服务器端脚本加密后，只有服务器上安装有Script Engine 5（装IE5即可）才能解释执行。