|
|
来群里也快2年了,今天第一次在论坛上冒泡,最近发一个MDE会泄漏数据库帐号信息的安全问题,现在在王站的指导下已经成功解决,现将相关解决方法分享给各位Access朋友,希望大家在做自己系统的同时多考虑常量问题,让自己的后台更安全. 如下是经过编译后的MDE格式文件,在用文本编辑器打开后显示的基本都是乱码,但通过查找关键字pwd或server时就会发现宝藏,后台IP,端口,数据库名,数据库用户名,数据库密码这些信息一收眼底,大家想想有了这些信息还有什么不能做呢,为什么非要受前台设定权限的限制呢,而且曾经用过的旧用户信息也在里面,压缩修复前台都没有用。
一般来讲这些信息最容易泄漏的有两个地方,一是直接用链接表的方式,此时相关信息会保存在隐藏的系统表Sysobjects中,另一种是直接用ADO写在模块代码中,一般来说MDB转为MDE后就不能看到模块的代码了,但并不是完全看不到,还会有一些会显示出来。第三种就是链接表+模块刷新,这种泄漏和直接用ADO差不多。
因为我们有时需要配置ODBC,而本地ODBC要和模块代码中的IP,端口,数据库名,数据库用户名,数据库密码这些信息要同步,所以只能通过下面这种方法去写,当然如果大家有更好的方法可以分享出来,大家共同学习。
通过加密是可以实现这些,一类是MD5加密,一类是改变字串的ASC来实现,虽然采用ASC能反向解密,但在乱码中没有pwd,server,ip这类的关键字当然也就无从下手了,也就间接的达到的加密的效果。首先得定义一个函数模块。可以直接在即时窗口中去测试。
定义完成后就可以在数据库连接代码模块中直接调用函数加密字串。
最后再把文件编译为MDE,此时再用文本格式打开就看不到后台IP,端口,数据库名,数据库用户名,数据库密码这些信息了,同时查找pwd和server这些关键字也没有了。同样都是在102行,但显示的信息完全不同了。当然,没有真正意义上的安全,但能提升一步总是有好处的,即使要破解也要花一定的时间,而不是信手拈来。
来自群组: Access粉丝团 |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?注册
x
评分
-
| 参与人数 1 | 经验 +10 |
金钱 +10 |
技术 +1 |
收起
理由
|
 5988143
| + 10 |
+ 10 |
+ 1 |
(其它)优秀教程、原创内容、以资鼓励、其. |
查看全部评分
|
|站长邮箱|小黑屋|手机版|Office中国/Access中国
( 粤ICP备10043721号-1 ) 
IP卡
狗仔卡
发表于 2015-8-10 16:07:30
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
淘帖
订阅
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2015-8-10 16:09:29