基于ASP+Access构架中小学网站安全性问题探析摘要：随着教育信息化的发展，越来越多的中小学开始建设并拥有自己的网站。根据调查分析，发现多数中小学网站在建设中采用ASP+Access的技术架构，由于技术本身的局限性，使得这些网站存在一定的安全隐患。基于该现状，结合工作经验，提出了几种相应的防范措施。关键词：ASP+Access；网站；安全性中图分类号:G434文献标识码：A文章编号:1671-7503(2014)05-0074-02随着教育信息化的发展，城市和经济发达地区各级各类学校已不同程度地建有校园网并以多种方式接入互联网，信息终端正逐步进入农村学校，越来越多的中小学校拥有了自己的网站。笔者通过调查发现，目前，中小学校建设网站的方式大致可以分为三种：聘请专业的公司和人员来开发；利用相关的互联网服务产品，如中国现代教育网的网校平台和中国远程教育网的学校建站系统；修改开源的CMS系统等。在技术选型方面,ASP+Access由于具有入手容易、界面友好、维护方便等特点，受到设计和开发人员的欢迎，成为众多中小学网站的首选方案。虽然ASP+Access的架构不需要复杂的编程，就可以开发出专业的网站；但由于ASP+Access技术本身的局限性，使得网站系统存在不容忽视的安全隐患，如果稍不注意，就可能成为黑客的攻击对象，从而面临页面被篡改、挂马、植入黑链等风险。本文将就这一问题进行分析，进而提出相应的防范措施来提高网站的安全性。一、ASP+Access网站的安全隐患分析ASP+Access网站的安全性问题一方面来源于ASP程序设计过程中的安全漏洞，另一方面来源于Access数据库的安全隐患。（一）ASP程序设计中的安全漏洞作为一种动态网页技术，ASP程序会根据用户的输入信息而动态改变并做出响应，由于用户输入信息的不可预测，加之编写程序时，没有对用户提交的数据进行合法性检查和过滤，致使网站系统存在一些安全漏洞，常见的漏洞有以下两种。1•绕过验证的漏洞某些交互程序要求用户必须登陆系统后才能操作，而进行相关操作所需的用户名、密码、命令等内容会显示在浏览器的地址栏中。一旦非法用户获取了这种地址，执行操作的网页本身却没有验证用户身份的程序，则非法用户直接输入该地址，即可绕过登录验证，直接执行相关的操作。2.SQL注入的漏洞SQL注入漏洞是很多网站普遍存在的一个安全隐患。所谓SQL注入，是指用户通过表单或地址栏提交一段包含SQL命令的字符串，根据程序返回的结果，进而分析、获取系统管理员的用户名和密码、数据库的类型、数据表的结构等信息，甚至对网站数据库进行修改或直接在数据库中添加具有管理员权限的用户等。（二）Access数据库的安全隐患1.Access数据库的存储隐患在ASP+Access网站系统中，如果用户猜到或者获知Ac-cess数据库（*.mdb）的存储路径和文件名，就可以把数据库下载到本地。在实际的开发过程中很多程序员直接将网站数据库命名为data.mdb>database.mdb>db.mdb等，存储的文件夹名也是data、databasedb或干脆放在根目录下。如此一来，只要在浏览器地址栏中输入uURL/data/data.mdbJ?，就可以轻而易举地把data,mdb下载到本地。2.Access数据库的加密隐患作为数据库系统‘Access可以设置系统密码。但其加密机制却非常简单。其原理是：Access数据库的文件头中42H-4EH为密码区，在设置密码时，Access会将用户所设密码的ASCII码与密码区的内容进行异或运算，然后将运算的结果存入密码区。由于异或操作的特点是“经过两次异或就恢复原值”，因此，用这一密码与Access文件中的加密串进行第二次异或操作，就可以轻松地得到Access数据库的密码。因此，只要Access数据库被下载，无论其是否设置了系统密码，该网站都没有任何安全性可言。二、提高ASP+Access网站安全性的措施（一）利用Session变量进行用户身份验证Session变量可以存储特定用户会话所需的信息，让后续的网页读取。因此，可以在需要限制访问的页面加入Session变量，一旦非法用户试图直接访问受限的页面，但程序判断相关的Session变量为空时，则强制将页面跳转到登陆页面。例如:ifsession（”adminname"）二““thenresponse・redirect“login.asp"（二）防范SQL注入漏洞的方法一般来说，防范SQL注入漏...