暴庫

黑客暴庫的方法有很多，如果站長沒有修改默認數據庫地址，那黑客就能直接下載到數據庫對網站進行控制。當然稍有安全意識的站長都會修改默認數據庫地址的，通常是由於程序的漏洞導致數據庫被黑客非法下載到。

在暴庫的漏洞歷史中，要數單引號過濾不嚴漏洞最為經典，入侵者只要加單引號就能暴庫。這個漏洞危害非常大，曾經導致無數網站受害。還有較早版本的《動力文章系統》（一種網站系統）的%5c替換漏洞，也是非常簡單，只要加%5c就能測試出漏洞。暴庫漏洞出現時都導致無數網站受害。

很多人認為在數據庫前面加個“#”就能夠防止數據庫被非法下載，但是經過研究，這是錯誤的。因為在IE中，每個字符都對應着一個編碼，編碼符%23就可以替代“#”。這樣對於一個只是修改了後綴並加上了“#”的數據庫文件我們依然可以下載。

比如#data.mdb為我們要下載的文件，我們只要在瀏覽器中輸入%23data.mdb就可以以利用IE下載該數據庫文件，這樣一來，“#”防禦手段就形同虛設一般，還有一些人把數據庫擴展名改成ASP，其實這也是一種致命的錯誤，黑客下載後把擴展名修改回來就行了。

防範暴庫首先必須修改默認地址，對於有自己的服務器的朋友還有一種更為保險的辦法，就是將數據庫放在Web目錄外，如你的Web目錄是e:\webroot，可以把數據庫放到e:\data這個文件夾裏，在e:\webroot裏的數據庫連接頁中修改數據庫連接地址為“../data/數據庫名”的形式，這樣數據庫可以正常調用，但是無法下載，

因為它不在Web目錄裏。

也可以對數據庫進行防下載處理，加入一個防下載表

還有就是經常更新程序，也可以使用Access數據庫防下載的插件，例如：“數據庫防下載.asp”之類的插件。