关键词:Access数据库 漏洞 防范 VB密码
引 言
Access数据库是一个桌面关系型数据库,对于一些信息量较少的系统,选用Access数据库,使得编程、使用、二嵌开发都比较容易。对于桌面型的数据库应用来说,Access数据库的安全机制已经可以满足要求,但从根本上来说,Access数据库的安全性设计是不完善的,我们需要详细分析数据库的安全漏洞,提出防范对策。
1.Access数据库系统存在的漏洞
1.1Access数据库的解密隐患 由于Access数据库的加密机制非常简单,所以即使数据库设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在*.mdb文件中从地址“&H42”开始的区域内。由于异或操作的特点是经过两次异或就恢复原值,因此,用这一密钥与*.mdb文件中的加密串进行第二次异或操作,便可轻松得到Access数据库的密码。
1.2工作组信息文件带来的安全隐患 Access有一个默认名为system.mdmd1 利用API函数在注册表中进行密码操作 从以上分析密码存储的隐患来看,密码保存在程序和文件中,安全性能较差;如果考虑将密码存入注册表中,通过对注册表的操作,可以将密码随便放到注册表的什么地方;要想找到密码字符可谓大海捞针。
VB为用户提供了4个用于注册表操作的函数SaveSetting、GetSetting、GetAllSettings和DeleteSeting,使用这四个函数可以方便地操作注册表。通过函数GetString将注册表项的值赋值给字符变量M。当用户输入密码后进行核对,如果输入的密码与M中相同则为合法用户,登录成功。当窗体装入时调用GetString函数,在GetString函数中调用API函数RegOpenKey打开指定表项,打开指定表项后,调入函数RegQueryStringValue,在RegQueryStringValue函数中首先调用API函数RegQueryValueEx hKey,以得到项值空间的大小;调用VB的String函数将变量lDataBufSize按其大小设为CHR$;对所得键值去掉右侧空字符并将结果赋值给函数名为 RegQueryStringValue,程序返回到它的调用之处,GetString函数操作完毕将键值赋给变量M,即可等到保存在注册表中的密码。
2.2 在VB中对密码进行加密和解密。其中一种方法是设置一个被称为“密钥”的字符或字符串,通过使用密钥对密码进行操作,将明码变成密码。在解密时再使用密钥对密码进行逆操作,密码就还原了。程序使用当前输入的密码作为密钥对输入的密码作加密操作,将加密后的密码存入文本文件Pass结束语
Access数据库系统安全问题的分析研究是一项专业性、技术性极强而且复杂和庞大的工程,数据库技术不断发展进步,对于数据库安全防范技术的研究也将永无止境。本文总结分析了与实际使用密切相关的Access数据库系统安全漏洞,并提出了一定的防范对策,对于实践使用有一定的针对性和指导意义,在具体实施时,应根据具体情况、环境和需求,因地制宜进行分析,采取相应有效措施保护数据库系统乃至整个网络系统的安全。 ◆
相关:
促进3个转变化解运营商和制造商的困惑吴基传:全国人大教科文卫委员会副主任委员,原信息产业部部长。1937年9月出生,湖南常宁人。1959年毕业于北京邮电学院有线电通信工程系。1965年后任邮电部供应局技术员,邮电部物资设备处副处长、处长;1993年3月至1..
我国上市公司跨国并购的动因与战略伴随着全球第五次并购浪潮的推动,在全球跨国公司实施积极并购的示范作用下,我国企业越来越注重跨国并购,并开始将其作为“走出去”的一种战略选择。根据商务部的统计,2005年跨国并购已成为我国对外直接投资的主要方..