议题提交：linzi[B.C.T]
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

读大学了,这段时间也没多大的时间上网,好久没发贴了,就贴个这个贴子吧,对于为什么不能下载的原因希望大家一起讨论一下,还有其它平台未测试,希望有时间的哥们测试一下.

测试平台:windows 2003 +iis 6.0
在IE下访问扩展为.eip的文件会出现404错误，所以当我们对于access的数据库把扩展改为.eip就可以在一定程度上防止下载和对数据库路径的猜测。
ps:我在测试netbox时发现不会出现404,说明可能是IIS的特性.
把数据库扩展改成.eip在目前不但可以防下载,而且可以防止别人的暴力猜解,或许对你来说是一个不错的选择

应该是IIS的MIME TYPE里面不存在对应的文件后缀格式
你可以随便选一个不存在的MIME TYPE来做后缀
也会有相同的效果.

只能在win2003下的iis6下才这样
默认情况下
禁止所有的扩展
如果不开启
就是连asp也会出现404

哪个,Sorry Linzi...
昨天很忙发现的时候没和你做测试.(我那个时候找那个QQ可能溢出的地方找的太疯狂了.没顾的上)
今天把这个eip传到服务器上的时候,(IIS 5) 发现是可以下载的.估计是IIS6的MIME那里你主机没设置好吧.

在MIME列表中将mdb删除了就可以。
不过防止mdb下载还有一个方法就是放在非web目录中。

linzi 我在２０００的服务器上测试的结果是一样的．可以下载．

好象是iis6没有映射的缘故

勇敢的风  放在非WEB目录中，可以在WEB页面中调用吗？
我没有做过测试，也不知道如何调用。

我现在是设想：
1。如果只是利用WEB程序读数据库。这个方法也许行的通
2。如果要利用WEB写到数据库。这个方法也行吗？

用mappath就可以访问到了.

我觉得放到非web目录好些可以../  这样去调用数据库。。然后对数据库赋予写的权限就可以。。还是觉得这样安全些。

用某一个gif解析mdb !
通过限制禁止web访问data等文件夹

>>通过限制禁止web访问data等文件夹 ???

那你ASP文件怎么访问到数据库?

数据库非web目录使用方法
目录情况如下：
d:\myweb\wwwroot 该目录放置web内容（该目录为iis站点主目录）
d:\myweb\datebase 该目录放置数据库（Access数据库）
以上两个目录的权限应继承d:\myweb目录的权限

读取数据库的代码示例：
d:\myweb\wwwroot\conn.asp

Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath("../datebase/Access.mdb")

数据库防下载有两种方法
一是在IIS服务器的脚本映射中去把.mdb的脚本映射指定到一个内容为空的的DLL文件上去
二是修改数据库的后缀名为任意，比如*.mdb修改为*.xy，当然也被忘记在数据库连接文件中也要去修改