Access911.net   |   a9BBS   |   OTaA System  
  搜索文章:  
Access911欢迎您光临  
   主页      上传      繁體版       论坛     
设为首页  |  加入收藏   
  
你现在的位置:文章索引 -> 文章分类 -> 安全  
 首页|  近日更新|  下载  |  文章索引  |  搜索|  术语|  承接工程|  
 
系统正在加载内容,请耐心等待...
 
 查询
 窗体
 报表
 
 
 VBA
 函数
 ADO/DAO/ADO.NET
 API
 ADP
 安全
 发布
 OA
 ASP/ASP.NET
 其他语言
 控件
 DELPHI
 C#/.Net
 本站
 其他
 小例程
 常用软件
 参考文档
 业主作品
 网友大作
 
 
友情链接
 access911.net
 
访问人次
 1702314
 
站长 E-Mail
 net911@sina.com
 access911@gmail.com
 
RSS 订阅

显示附加信息 >>>

Access安全吗?Access安全性之QA详解

作者:cg1  摘自:access911.net  :cg1  更新日期:2004-1-3  浏览人次:

 

Access安全吗?Access安全性之QA详解
作者:Access911
日期:2001-04-03
原文地址:http://access911.net/old/study/a_oth002.htm

    在写这篇文章前首先要感谢网友:松木、zengwb、秋天、4432,谢谢他们围绕Access安全性的讨论,现摘录如下:

Q MDB我用[启动]的所有选项都 False,用封面表单启动,同个工作组的用户没授权是不能开打表修改,但他可以另建一个空数据库,进行导入或链接进行修改,如何防范?请赐教!

A 首先应该用MS Access Workgroup Administrator程序建立自己的MDW文件,比如newSystem.mdw,然后建立一个新的帐号比如newAdmin,缺省的有AMDIN和,比如GUEST帐号,然后设置各个帐号的密码。然后以newAdmin帐号登陆,建立数据库,或者导入现有的数据库中的表或窗体等进行开发。对数据库的安全性进行设置。除了newadmin帐号,将所有的组和用户对该数据库的打开权限都屏蔽掉,其它权限也宜屏蔽掉。这样的话安全了。这样的话打开该数据库只能关联上新建的MDW文件,使用newAdmin帐号才能打开。但是实际应用时当然还应该建立一个运行软件的帐号,比如newUser,(最好不要用缺省的“用户”帐号,这样关联到SYSTEM。MDW上就可以进入,即使你设置密码也不安全,因为COPY一个新的SYSTEM。MDW一样可以关联。)将newUser帐号对各个表的权限相应的设置,能读写,不能修改设计,对窗体只能运行即可,总之它是用来运行的。屏蔽一切可以修改的权限。这样的话开发和运行就是两个帐号,但是新的问题就是如果就这样交给用户使用,那么用户就必须知道newUser帐号的密码,那样的话数据就又不安全了,所以还应该用VB或者DELPHI做个套子,最简单的写上一句,运行该数据库就行了,比如:
strRunShell = "c:\Program Files\Microsoft Office\Office\MSACCESS.EXE /nostartup"

strRunShell = strRunShell & "/wrkgrp c:\newSystem.mdw c:\pinewood.mde /user newUser /PWD yourpassword"
RetVal = Shell(strRunShell, vbMaximizedFocus)


当然这只是个意思,在这套子里写写别的也可以,比如检查ACCESS是否安装了,路径是不是对,是不是注册了等等。(附:用另外一个已经编译成MDE文件的数据库也可以达到如上效果)

Q 用户安全组我也用过,但是我指的安全性主要针对内部人员,外面的高手如林,根本不要谈安全性了。
ACCESS有个致命的毛病(或许我还不会用),它的安全性性能只能用在当前已设安全机制的数据库,对用户新建的数据库根本无用,用户只需用他的帐户登录ACCESS,新建一个*.MDB,再用链接功能即可把后端数据库的表都链接起来(或者前端数据库也可,因为前端数据库的表是链接再后端数据库的表上,他无非是再链接而已),他只要看懂表的内容,就可以任意修改了。
其实微软稍改ACCESS让它的安全机制适用所有的数据库而不是当前数据库,我们就不用伤脑筋去防范一些初哥儿们,作为我们使用安全机制无非也就防范这些内部使用者的非法修改、破坏而已。
所以我们需要ACCESS系统级安全机制或office developer edition也有一定的帮助

A 错错错,“用户只需用他的帐户登录ACCESS,新建一个*.MDB,再用链接功能即可把后端数据库的表都链接起来(或者前端数据库也可,因为前端数据库的表是链接再后端数据库的表上,他无非是再链接而已),他只要看懂表的内容,就可以任意修改了。”
这段话错!如果ACCESS的安全性真的象贤弟所说的,那我所贴的那些可能都是空谈了。你可能还是没有按照我说贴的实践一番。事实上是不会那样的,因为我是新创建的系统文件(即MDW文件),关联到新的系统文件创建数据库,而此数据库的打开权限只能由我指定的固定的用户比如NEWUSER才有,所以别人,不管关联到什么系统文件上都是无法用新建的数据库联结上的,如果真是那样,ACCESS早就该淘汰了!
如果你不相信我可以做一个数据库发给你,看你能不能打开。我1997年开始使用ACCESS做开发,对我所完成的各种数据库我都要反复测试的,你所说的情况如果可以,我早就积攒几十个别人开发我想破解掉的数据库了。。。。

Q 愚弟还是不明白:
小弟在文中所指的用户是指内部操作人员,我也做过很多测试:
例:我建立一个安全机制的数据库,系统创建一个MDW文件,我设定一个新的只读工作组及一个普通用户(无管理员权),把系统的用户组不设任何权限,然后退出ACCESS,选用新的MDW文件,用那个普通用户登录,建立一个新的文件,然后即可导入、链接先前那个已有安全机制的数据库.

A 你可能还是没认真读我的帖子,其实ACCESS的帮助中有更详尽的说明,非常详细。不过为了彻底让你明白,我就列个傻瓜式的步骤吧,贤弟不要介意,我也是读着傻瓜式的帮助才逐渐变聪明的。
1、先用ACCESS安装目录下的WRKGADM.EXE程序创建一个自己的MDW文件。然后关联上。
2、登陆进ACCESS后,缺省是ADMIN用户,随便建立MDB,修改ADMIN用户密码,建立一个新的帐号,比如PINEWOOD,作为我今后管理变成用,再建立一个NEWUSER,给我以后的用户用。(可以不建立任何组)
3、重新登陆,以PINEWOOD登陆,然后修改密码,即把空密码修改掉。对NEWUSER帐号也重复一次。
4、以PINEWOOD登陆,建立你所需要开发的数据库MDB源文件,起名字比如MYCODE保存后即可对安全性设置。安全性设置你应该知道在哪里吧,菜单里有。将所有ADMIN以及GUEST对MYCODE的任何权限都屏蔽掉,注意,任何权限,不管是对新表还是新模块,还是对数据库的打开权限,全去掉。然后对所有组对本数据库的全部权限也全屏蔽掉。不能遗漏。如果用户组不屏蔽掉其权限,属于这个组的ADMIN以及GUEST都可以打开数据库了。
5、然后对PINEWOOD对数据库的权限进行设置,当然,应该是所有权限都有。对NEWUSER权限进行设置,当然对所有表、查询等除了修改设计权限,读写的权限是应该有的,打开数据库的权限也是应该有的,运行的权限也应该有的。总之这个帐号是给用户用的。
6、然后做开发,建立表窗体等。你已经做过了,那就导入进来。但这时候你的数据库是安全的,别人是无法从MYCODE中得到任何东西的。除非知道密码。
7、开发完后应该是分离数据库,不止到你是不是这样做的,然后让后台的MDB数据库一样的安全。然后编译前台程序为MDE文件。
8、做个EXE文件,我在别的帖子里说了,简单的使用NEWUSER帐号打开数据库的EXE文件。是给你的用户用的,这样他们除了使用这个EXE使用数据库,没别的办法。
9、然后把MDB放到服务器端,MDE和MDW以及EXE发布给用户使用。当然MDE和MDB的关联关系是事先建立并调试好的。编程中如何处理就不用说了。
10、做到这里就足够了,对于非常需要安全的开发者来说本来是还有一些工作要做的。可参见我的别的帖子。“注意”里说了一些。那些问题都是用到了自然会用,未用到的还是没用。遇到哪个问题解决哪个,贤弟以为然否?

Q 我的天?!!难道我要同时复制三个文件,mdb & mdw & exe??? ...
先不说vb 的exe可以很方便的反编译,难道别人就不会把mdw文件先删除,然后再打开mdb文件吗?
如果说access的安全性仅限于此,那真的叫“彻底安全”了。 
另外问一下,我需要更“安全”的方法有吗?前两次说的方法只要稍微懂一点电脑知识的人就可以解决了。

A 对于文件共享方式,服务器端只需要安装MDB数据库,客户端需要安装的是EXE、MDW和MDE文件。
注意:
1、是MDE文件,而不是MDB,数据库应该是放在后端的,而MDE文件是编译过的,效率高,而且即使密码被破解也不会泄露源代码。
2、如果用户删除了MDW文件,那么就根本无法访问数据库了,如果不用我的MDW文件就能访问我的MDB文件,那我谈什么安全。
3、EXE文件未必要用VB,VC、BC、DELPHI都可以,再说VB5以上的版本我还没听说可以反编译的,也没找到相应的工具。
4、目前破解ACCESS数据库的用户级安全密码的工具也不少,但是对MDW文件的用户是可以处理的,可以使之即使破解了MDW文件,也无法获得使用MDE源程序文件MDB的权限,更何况MDE源程序文件MDB他是根本无法得到的,因为根本就未发布。无处得到,除非你计算机让人随便用。所以程序是肯定安全的,数据库的数据的安全性虽是相对安全的,但是也是足够的。 


后续1:

看完这篇文章竟然还有很多人询问类似以下问题
“我拆分了数据库、而且也用安全向导设定了用户组权限(MDW),我放在服务器上的那个 MDB 能够打开,但是我 COPY 到其他电脑上到 MDB 都无法打开,这是为什么?”
我不得不请大家再认真仔细都看一遍文章,文章中已经明确说明了要打开工作组加密都 MDB/MDE 文件必须要关联相对应都 MDW 文件,你 COPY 到其他机器到时候关联 MDW 启动了么?你把那个 MDW 也共享了么?还是你把 MDW 文件已经复制到其他电脑上了呢?如果没有,那么请去做一下!

另外,上述文章是我在 01 年写到资料,适用于 ACCESS 97 ,现在 ACCESS 已经升级到 ACCESS 2003 了,它的安全向导已经集成到 ACCESS 到“工具”菜单中了,请大家自己去看一下。

access911 写于 20060316 下午

 

后续2:

还有很多网友问我“我拿到了MDB文件但是打开的时候提示我对某个表没有读取权限,我还有办法么?”
回答上述问题,请仔细看本文:
1、如果对方定义了这个 MDB 的权限,并且在定义权限时没有漏洞,而且也没有为你留下对应的 MDW 文件,那么你肯定无法读取数据了,你可以尝试用文本编辑器来打开 MDB 本身看看从二进制上你还能看出些什么来
2、如果对方为你留下了对应的 MDW 文件,那么只要关联这个 MDW 文件启动 MDB 文件即可。如果有密码可以用密码破解软件来破解,到 ACCESS2003 为止MDB打开密码、MDW工作组密码、VBA工程密码都可以破解。注意!MDW文件可能已经被对方改名,你可以搜索一下硬盘看看有没有类似的文件在 MDB 打开时被调用。
3、有些开发者并没有对 MDB 进行加密,只是在 MDB 启动的时候加载了一段代码,这段代码是一个带有欺骗性质的 MSGBOX,所以请确定看到的“没有权限”的提示的确是 ACCESS 的系统提示,而不是某个 MSGBOX 或者 窗体。如果确定不是 ACCESS 系统提示,那么可以按住 SHIFT 键来启动 MDB ,这样就不会运行那段自动代码了,如果按住 SHIFT 无效,那么可能是开发这个 MDB 的作者锁定了 SHIFT 键,请用:
    如何启动或禁止(禁用)shift键锁定(shift键解锁)《其他》
    http://access911.net/index.asp?u1=a&u2=71FAB01E
中我提供的解锁工具解开锁定即可

access911 写于 20060512 下午

 


本站文章旨在为该问题提供解决思路及关键性代码,并不能完成应该由网友自己完成的所有工作,请网友在仔细看文章并理解思路的基础上举一反三、灵活运用。

access911.net 原创文章,作者本人对文章保留一切权利。
如需转载必须征得作者同意并注明本站链接

 

 
相关文章
     了解Access安全性
     如何加密Access数据库?
     4 种常用加密算法-6-rsa
     4 种常用加密算法-4-BASE64
     Access 2000数据库的密码忘了怎么办(破解密码) 
     4 种常用加密算法-3-md5
     4 种常用加密算法-2-RC4
     4 种常用加密算法-1-CFS
     关于jet db的连接字串,以及加密后的字串
     关于自动关联工作组启动的方法
     如何链接有密码保护的数据库?如何链接打开加密的数据库?
 
评论
     查看或发表更多的评论,请单击这里。
 
 
 
 
 
   
  Access911.net   |   a9BBS   |   OTaA System   |
建站日期:2000年4月2日  |  设计施工:陈格 ( access911 & cg1 )
 Copyright © 2000 - 2003 COMET, 陈格 保留所有权利