发布/打包/文档/帮助
隐藏MDE文件中敏感信息
2016-07-18 17:51:01

      最近发一个MDE会泄漏数据库帐号信息的安全问题,现在在王站的指导下已经成功解决,现将相关解决方法分享给各位Access朋友,希望大家在做自己系统的同时多考虑常量问题,让自己的后台更安全.       如下是经过编译后的MDE格式文件,在用文本编辑器打开后显示的基本都是乱码,但通过查找关键字pwd或server时就会发现宝藏,后台IP,端口,数据库名,数据库用户名,数据库密码这些信息一收眼底,大家想想有了这些信息还有什么不能做呢,为什么非要受前台设定权限的限制呢,而且曾经用过的旧用户信息也在里面,压缩修复前台都没有用。      

       一般来讲这些信息最容易泄漏的有两个地方,一是直接用链接表的方式,此时相关信息会保存在隐藏的系统表Sysobjects中,另一种是直接用ADO写在模块代码中,一般来说MDB转为MDE后就不能看到模块的代码了,但并不是完全看不到,还会有一些会显示出来。第三种就是链接表+模块刷新,这种泄漏和直接用ADO差不多。      因为我们有时需要配置ODBC,而本地ODBC要和模块代码中的IP,端口,数据库名,数据库用户名,数据库密码这些信息要同步,所以只能通过下面这种方法去写,当然如果大家有更好的方法可以分享出来,大家共同学习。      

      通过加密是可以实现这些,一类是MD5加密,一类是改变字串的ASC来实现,虽然采用ASC能反向解密,但在乱码中没有pwd,server,ip这类的关键字当然也就无从下手了,也就间接的达到的加密的效果。首先得定义一个函数模块。可以直接在即时窗口中去测试。                                                 

      定义完成后就可以在数据库连接代码模块中直接调用函数加密字串。      

      最后再把文件编译为MDE,此时再用文本格式打开就看不到后台IP,端口,数据库名,数据库用户名,数据库密码这些信息了,同时查找pwd和server这些关键字也没有了。同样都是在102行,但显示的信息完全不同了。当然,没有真正意义上的安全,但能提升一步总是有好处的,即使要破解也要花一定的时间,而不是信手拈来。       

首页