摘要:本文从vb程序设计的角度探讨了access数据库密码的保存方式及密码本身加码、解码的安全问题,以确保数据的完整性和安全性。
关键词:vb access 密码
0 引言
access 数据库作为微软推出的以标准jet为引擎的桌面型数据库系统,它界面友好、操作简单,是开发中小型数据库应用系统的常用平台,以其功能全面、程序设计方便等特点得到了广泛应用。但是随着access数据库的广泛应用,对其安全性的需求也越来越高,而数据库的安全主要体现在数据的安全传送与安全存储,而数据的传送与存储大多数都是通过对数据本身的加密来实现的;所以,加密和解密问题也就成为access数据库安全的首要问题。
1 access密码的安全隐患
1.1 access 数据库的存储隐患 access 数据库的安全隐患第一就是密码的保存问题,将密码放在程序中和文件中,如果获得或者猜到access据库的存储路径和数据库名,则该数据库就可以被下载到本地[1]。例如:对于校园网上的一个图书查询的access数据库,人们一般命名为book.mdb、library而存储的路径一般为 “url/database”或干脆放在根目录(“url/”)下。这样,只要在浏览器地址栏中敲入地址: “url/database/library.mdb”,就可以轻易地把slibrary.mdb下载到本地的机器中。
1.2 access 数据库的解密隐患 access数据库的加密机制非常简单,所以即使数据库设置了密码,解密也很容易. 该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串,并将其存储在*.mdb 文件中从地址“&h42”开始的区域内. 由于异或操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥与*.mdb文件中的加密串进行第二次异或操作,就可以轻松地得到access数据库的密码.基于这种原理,可以很容易地编制出解密程序[2]。loCalhOST由此可见,无论是否设置了数据库密码,只要数据库被下载,其信息就没有任何安全性可言了。
2 在vb中提高access 数据库安全性的方法
在vb中,通过编程来解决数据库中密码的安全问题,通过vb中的api函数来将密码保存到注册表中,以实现用户合法性检验的方法;同时对密码进行加密和解密。
2.1 利用api函数在注册表中进行密码操作 从以上分析密码存储的隐患来看,密码保存在程序和文件中,安全性能较差;如果考虑将密码存入注册表中,通过对注册表的操作,可以将密码随便放到注册表的什么地方;要想找到密码字符可谓大海捞针。
vb为用户提供了4个用于注册表操作的函数savesetting、getsetting、getallsettings和deleteseting,使用这四个函数可以方便地操作注册表。通过函数getstring()将注册表项的值赋值给字符变量m,窗体装入程序段中的m= getsetting(hkey_current_user,”regdata\aa”,””)语句。当用户输入密码后进行核对,如果输入的密码与m中相同则为合法用户,登录成功。当窗体装入时调用getstring函数,在getstring函数中调用api函数regopenkey打开指定表项,打开指定表项后,调入函数regquerystringvalue,在regquerystringvalue函数中首先调用api函数regqueryvalueex hkey,以得到项值空间的大小;调用vb的string函数将变量ldatabufsize按其大小设为chr$(0);对所得键值去掉右侧空字符并将结果赋值给函数名为 regquerystringvalue,程序返回到它的调用之处,getstring函数操作完毕将键值赋给变量m,即可等到保存在注册表中的密码[3]。主要程序如下:
function getstring(hkey as long, strpath as string, strvalue as string)
dim ret
regopenkey hkey, strpath, ret
getstring = regquerystringvalue(ret, strvalue)
regclosekey ret
end function
function regquerystringvalue(byval hkey as long, byval strvaluename as string) as string
dim strstring as string
regqueryvalueex hkey, strvaluename, 0, lvaluetype, byval 0, ldatabufsize
strbuf = string(ldatabufsize, chr$(0))
regqueryvalueex hkey, strvaluename, 0, 0, byval strbuf, ldatabufsize
regquerystringvalue = left$(strbuf, instr(1, strbuf, chr$(0)) - 1)
exit function
2.2 在vb中对密码进行加密和解密 当然,为了保证密码的安全,除了考虑密码的存放方式外,
[1] [2] 下一页