Artiklar » Databaser » Databaser - Snabbhet och Säkerhet

 
 

Databaser - Snabbhet och Säkerhet

Författare: lbrink
Datum: den 14 februari 2003
Antal lästa: 4742
Ej stjärnmärkt

Jag ska i denna korta artikel gå igenom lite grundläggande saker om databaser och säkerhet, detta i och med att jag sätt väldigt många sajter ha dessa små "buggar"

Säkerhet

Misstag 1
Dem flesta lägger sina databaser, i en  /db mapp under wwwroot.
Man döper sedan databasen till db.mdb, för att lättast kunna komma ihåg vad databasen heter och för att slippa gå och kolla varje gång..

Varför?
Den är väldigt lätt att hitta för användaren, dem flesta "hackerna" testar först db.mdb, databasen.mdb och data.mdb innan man går in på lite mer avancerade metoder.

Hur gör jag för att förhindra detta?
1. Detta är en metod.
Detta är den enklaste metoden, du döper helt enkelt om databasen till ett slumpvalt namn och gör det därmed svårare för hackern, nästintill helt säker är denna metod, men inte helt, då man med rätt program kan låta programmet slumpa fram olika kombinator och sedan säga åt program att testa om filen finns, men om man väljer en bra kombination så kommer det troligen att ta en jädrans massa tid för programmet och ”hackern” som använder programmet kommer troligen att tröttna.

2. Andra metoden är att göra så här:
Du lägger helt enkelt Databasen utanför wwwroot, så att man genom webben inte kan komma åt filen.
Dem flesta seriösa webhotell idag har en speciell data mapp där just databaserna ska läggas, och använd den, du tjänar bara på det.
Denna metod är helt säker, för att hackern ska komma åt databasen med denna metod krävs det att han hackar sig in på servern.

Misstag 2
Väldigt många använder idag includes för att spara databasens connect-sträng, och det gör ni rätt i.
Men, många vill gärna skilja dessa filer från vanliga ASP-filer och döper dem därmed till .inc.
Detta är inte bra, då .inc oftast hanteras som textfiler, så vem som helst komma åt connect-strängen och därmed få tag i  sökvägen till accessdatabasen, eller alla uppgifter till den MySQL server du använder.
Inte roligt.

Det du kan göra åt detta är att:
1. Enklaste, gör om filen till .asp
2. Svårare, gör så att servern hanterar .inc som .asp

Tillägg
Många sätter lösenord på sina Accessdatabaser och tror att dem blir säkra av det, men, tro inte för mycket.
Med program som man enkelt hittar om du bara söker lite så kan du på några sekunder få tag i databasens lösenord, så ni kan inte förlita er på att ni har ett lösenord på databasen, och sedan tro att databasen är dunder säker!

Snabbhet:
Det finns en "uppgraderad" connect-sträng till Accessdatabaser som gör att det helt enkelt blir snabbare.
Denna ska funka på alla uppdaterade IIS-Servrar, om inte så finns troligen någon uppdateringsfil på http://download.microsoft.com

Kod:
<%

strConnString = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath("databasen.mdb")
Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open strConnString

%>


Såhär ser den ut, och jag tycker absolut att ni ska byta till denna om det funkar på den servern du använder, då denna faktiskt snabbar upp det hela.

Slutsats
Jag hoppas ni har lärt er något av detta och tänker lite på det jag har tagit upp, så kanske vi kan få webben lite säkrare.

Daniel Öbrink, lbrink
 
     

  » Logga in  
 
Användarnamn

Lösenord

 
     

  » Bli medlem  
  Bli medlem på ASPsidan!  
     

     
  Microsoft  
     

  » Partners  
  Comsolvia  
     
  » ANNONS  
  ingen annons än  
     

  » Senast online  
  Endast för inloggade  
  Antal inloggade: 1  
     

Copyright © 2007 www.ASPsidan.se
ingen sponsrar längre ASPsidan med Dedikerad Server
ASPsidan RSS
   
 XHTML / CSS
Det tog 0,0469 sekunder att ladda sidan