NT/2000服务器终极安全设置与效率优化指南（2）

核心提示： 文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的，尽量使用无规则的英文字母，NT/2000服务器终极安全设置与效率优化指南（2）(4)，注意某些ASP编辑器会自动备份asp文件，会被下载的漏洞在有些编辑asp程序的工具，可不要把他起个"book.mdb"的

文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的，尽量使用无规则的英文字母。

注意某些ASP编辑器会自动备份asp文件，会被下载的漏洞

在有些编辑asp程序的工具，当创建或者修改一个asp文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个..bak文件，如你创建或者修改了some.asp，编辑器自动生成一个叫some.asp.bak文件，如果你没有删除这个

bak文件，攻击有可以直接下载some.asp.bak文件，这样some.asp的源程序就会给下载。

在处理类似留言板、BBS等输入框的ASP程序中，最好屏蔽掉HTML、JavaScript、VBScript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查。

说明：输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏；

如果该输入框涉及到数据查询，他们会利用特殊查询输入得到更多的数据库数据，甚至是表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过，因此必须在服务器端再做一次检查。

防止ACCESSmdb数据库有可能被下载的漏洞

在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。

解决方法：

(1)为你的数据库文件名称起个复杂的非常规的名字，并把他放在几目录下。所谓"非常规"，打个比方：比如有个数据库要保存的是有关书籍的信息，

可不要把他起个"book.mdb"的名字，起个怪怪的名称，比如d34ksfslf.mdb，再把他放在如./kdslf/i44/studi/