暴庫

黑客暴庫的方法有很多，如果站長沒有修改默認資料庫地址，那黑客就能直接下載到資料庫對網站進行控制。當然稍有安全意識的站長都會修改默認資料庫地址的，通常是由於程式的漏洞導致資料庫被黑客非法下載到。

在暴庫的漏洞歷史中，要數單引號過濾不嚴漏洞最為經典，入侵者只要加單引號就能暴庫。這個漏洞危害非常大，曾經導致無數網站受害。還有較早版本的《動力文章系統》（一種網站系統）的%5c替換漏洞，也是非常簡單，只要加%5c就能測試出漏洞。暴庫漏洞出現時都導致無數網站受害。

很多人認為在資料庫前面加個“#”就能夠防止資料庫被非法下載，但是經過研究，這是錯誤的。因為在IE中，每個字元都對應著一個編碼，編碼符%23就可以替代“#”。這樣對於一個只是修改了後綴並加上了“#”的資料庫檔案我們依然可以下載。

比如#data.mdb為我們要下載的檔案，我們只要在瀏覽器中輸入%23data.mdb就可以以利用IE下載該資料庫檔案，這樣一來，“#”防禦手段就形同虛設一般，還有一些人把資料庫擴展名改成ASP，其實這也是一種致命的錯誤，黑客下載後把擴展名修改回來就行了。

防範暴庫首先必須修改默認地址，對於有自己的伺服器的朋友還有一種更為保險的辦法，就是將資料庫放在Web目錄外，如你的Web目錄是e:\webroot，可以把資料庫放到e:\data這個資料夾里，在e:\webroot里的資料庫連線頁中修改資料庫連線地址為“../data/資料庫名”的形式，這樣資料庫可以正常調用，但是無法下載，

因為它不在Web目錄里。

也可以對資料庫進行防下載處理，加入一個防下載表

還有就是經常更新程式，也可以使用Access資料庫防下載的外掛程式，例如：“資料庫防下載.asp”之類的外掛程式。