注意保护好你的数据安全

昨天一不小心竟然得到了一个全站的数据。过程如下：动易的网站，有很多站长做了动易，数据库地址也不改一下，凭我对动易的熟悉，很容易下到了整个数据库，利用md5翻译出管理员密码（目前有在线破解的网站，效果不错，估计是穷举的）。

得到了数据库不够啊，很多asp文件还是下不来，图片，css等等，我开始考虑直接用离线工具把整站拖下来算了，拖了一半，看到网址是个二级域名，于是看看一级域名是个啥站，打开一看是个提供免费空间的网站，咦，有戏，直接用二级域名的头做用户名，用网站的密码做密码登陆，ok，竟然进去了，这下ok了，ftp也找到了，ftp密码竟然也没有改，还是那个密码。

这个密码肯定是他最常用的密码，我想想是不是还能利用一下，搜了一下关于他的一些信息，又找到一个论坛，他是管理员，ok，我又顺利进入，客串了一把管理员。：）

回想一下，该站长出现了2大错误，最大的错误就在于动易的数据库没有改路径，名字等等，第二个就是密码通用。很多人也都是这样，主要是嫌麻烦，不过我认为为了安全麻烦一点还是值得的，免得一点小错误搞得满盘皆输。

对于动易的数据库防止下载，最好的方法就是不要放在web目录，现在很多虚拟主机都会有专门的数据库目录，一般是3个文件夹，一个web放网站数据，一个db放数据库，一个log放日志文件。我们要做的就是把access数据库拿出来放到db下面，连接路径在conn.asp可以这样写db = "\..\db\access.mdb"或者db = "..\db\access.mdb"至于加一个..\还是\..\还是2个这样的要具体分析，还要看服务器系统，2003和2000就不一样，自己多调试一下。