Access安全嗎?Access安全性之QA詳解

2010-09-03 23:03:45來源:西部e網(wǎng)作者:

  很多朋友在使用 MDB 文件時(shí)都遇到關(guān)于ACCESS的安全性問題,這里就以 Q & A 的方式來回答大家的疑問:
Q  MDB我用[啟動]的所有選項(xiàng)都 False,用封面表單啟動,同個工作組的用戶沒授權(quán)是不能開打表修改,但他可以

  很多朋友在使用 MDB 文件時(shí)都遇到關(guān)于ACCESS的安全性問題,這里就以 Q & A 的方式來回答大家的疑問:

Q  MDB我用[啟動]的所有選項(xiàng)都 False,用封面表單啟動,同個工作組的用戶沒授權(quán)是不能開打表修改,但他可以另建一個空數(shù)據(jù)庫,進(jìn)行導(dǎo)入或鏈接進(jìn)行修改,如何防范?請賜教!

A  首先應(yīng)該用MS Access Workgroup Administrator程序建立自己的MDW文件,比如newSystem.mdw,然后建立一個新的帳號比如newAdmin,缺省的有AMDIN和,比如GUEST帳號,然后設(shè)置各個帳號的密碼。然后以newAdmin帳號登陸,建立數(shù)據(jù)庫,或者導(dǎo)入現(xiàn)有的數(shù)據(jù)庫中的表或窗體等進(jìn)行開發(fā)。對數(shù)據(jù)庫的安全性進(jìn)行設(shè)置。除了newadmin帳號,將所有的組和用戶對該數(shù)據(jù)庫的打開權(quán)限都屏蔽掉,其它權(quán)限也宜屏蔽掉。這樣的話安全了。這樣的話打開該數(shù)據(jù)庫只能關(guān)聯(lián)上新建的MDW文件,使用newAdmin帳號才能打開。但是實(shí)際應(yīng)用時(shí)當(dāng)然還應(yīng)該建立一個運(yùn)行軟件的帳號,比如newUser,(最好不要用缺省的“用戶”帳號,這樣關(guān)聯(lián)到SYSTEM。MDW上就可以進(jìn)入,即使你設(shè)置密碼也不安全,因?yàn)镃OPY一個新的SYSTEM。MDW一樣可以關(guān)聯(lián)。)將newUser帳號對各個表的權(quán)限相應(yīng)的設(shè)置,能讀寫,不能修改設(shè)計(jì),對窗體只能運(yùn)行即可,總之它是用來運(yùn)行的。屏蔽一切可以修改的權(quán)限。這樣的話開發(fā)和運(yùn)行就是兩個帳號,但是新的問題就是如果就這樣交給用戶使用,那么用戶就必須知道newUser帳號的密碼,那樣的話數(shù)據(jù)就又不安全了,所以還應(yīng)該用VB或者DELPHI做個套子,最簡單的寫上一句,運(yùn)行該數(shù)據(jù)庫就行了,比如:

strRunShell = "c:\Program Files\Microsoft Office\Office\MSACCESS.EXE /nostartup"
strRunShell = strRunShell & "/wrkgrp c: ewSystem.mdw c:\pinewood.mde /user newUser /PWD yourpassword"
RetVal = Shell(strRunShell, vbMaximizedFocus)



當(dāng)然這只是個意思,在這套子里寫寫別的也可以,比如檢查ACCESS是否安裝了,路徑是不是對,是不是注冊了等等。(附:用另外一個已經(jīng)編譯成MDE文件的數(shù)據(jù)庫也可以達(dá)到如上效果)

Q  用戶安全組我也用過,但是我指的安全性主要針對內(nèi)部人員,外面的高手如林,根本不要談安全性了。
ACCESS有個致命的毛病(或許我還不會用),它的安全性性能只能用在當(dāng)前已設(shè)安全機(jī)制的數(shù)據(jù)庫,對用戶新建的數(shù)據(jù)庫根本無用,用戶只需用他的帳戶登錄ACCESS,新建一個*.MDB,再用鏈接功能即可把后端數(shù)據(jù)庫的表都鏈接起來(或者前端數(shù)據(jù)庫也可,因?yàn)榍岸藬?shù)據(jù)庫的表是鏈接再后端數(shù)據(jù)庫的表上,他無非是再鏈接而已),他只要看懂表的內(nèi)容,就可以任意修改了。
其實(shí)微軟稍改ACCESS讓它的安全機(jī)制適用所有的數(shù)據(jù)庫而不是當(dāng)前數(shù)據(jù)庫,我們就不用傷腦筋去防范一些初哥兒們,作為我們使用安全機(jī)制無非也就防范這些內(nèi)部使用者的非法修改、破壞而已。
所以我們需要ACCESS系統(tǒng)級安全機(jī)制或office developer edition也有一定的幫助

A  錯錯錯,“用戶只需用他的帳戶登錄ACCESS,新建一個*.MDB,再用鏈接功能即可把后端數(shù)據(jù)庫的表都鏈接起來(或者前端數(shù)據(jù)庫也可,因?yàn)榍岸藬?shù)據(jù)庫的表是鏈接再后端數(shù)據(jù)庫的表上,他無非是再鏈接而已),他只要看懂表的內(nèi)容,就可以任意修改了。”
這段話錯!如果ACCESS的安全性真的象賢弟所說的,那我所貼的那些可能都是空談了。你可能還是沒有按照我說貼的實(shí)踐一番。事實(shí)上是不會那樣的,因?yàn)槲沂切聞?chuàng)建的系統(tǒng)文件(即MDW文件),關(guān)聯(lián)到新的系統(tǒng)文件創(chuàng)建數(shù)據(jù)庫,而此數(shù)據(jù)庫的打開權(quán)限只能由我指定的固定的用戶比如NEWUSER才有,所以別人,不管關(guān)聯(lián)到什么系統(tǒng)文件上都是無法用新建的數(shù)據(jù)庫聯(lián)結(jié)上的,如果真是那樣,ACCESS早就該淘汰了!
如果你不相信我可以做一個數(shù)據(jù)庫發(fā)給你,看你能不能打開。我1997年開始使用ACCESS做開發(fā),對我所完成的各種數(shù)據(jù)庫我都要反復(fù)測試的,你所說的情況如果可以,我早就積攢幾十個別人開發(fā)我想破解掉的數(shù)據(jù)庫了。。。。

Q  愚弟還是不明白:
小弟在文中所指的用戶是指內(nèi)部操作人員,我也做過很多測試:
例:我建立一個安全機(jī)制的數(shù)據(jù)庫,系統(tǒng)創(chuàng)建一個MDW文件,我設(shè)定一個新的只讀工作組及一個普通用戶(無管理員權(quán)),把系統(tǒng)的用戶組不設(shè)任何權(quán)限,然后退出ACCESS,選用新的MDW文件,用那個普通用戶登錄,建立一個新的文件,然后即可導(dǎo)入、鏈接先前那個已有安全機(jī)制的數(shù)據(jù)庫.

A  你可能還是沒認(rèn)真讀我的帖子,其實(shí)ACCESS的幫助中有更詳盡的說明,非常詳細(xì)。不過為了徹底讓你明白,我就列個傻瓜式的步驟吧,賢弟不要介意,我也是讀著傻瓜式的幫助才逐漸變聰明的。
1、先用ACCESS安裝目錄下的WRKGADM.EXE程序創(chuàng)建一個自己的MDW文件。然后關(guān)聯(lián)上。
2、登陸進(jìn)ACCESS后,缺省是ADMIN用戶,隨便建立MDB,修改ADMIN用戶密碼,建立一個新的帳號,比如PINEWOOD,作為我今后管理變成用,再建立一個NEWUSER,給我以后的用戶用。(可以不建立任何組)
3、重新登陸,以PINEWOOD登陸,然后修改密碼,即把空密碼修改掉。對NEWUSER帳號也重復(fù)一次。
4、以PINEWOOD登陸,建立你所需要開發(fā)的數(shù)據(jù)庫MDB源文件,起名字比如MYCODE保存后即可對安全性設(shè)置。安全性設(shè)置你應(yīng)該知道在哪里吧,菜單里有。將所有ADMIN以及GUEST對MYCODE的任何權(quán)限都屏蔽掉,注意,任何權(quán)限,不管是對新表還是新模塊,還是對數(shù)據(jù)庫的打開權(quán)限,全去掉。然后對所有組對本數(shù)據(jù)庫的全部權(quán)限也全屏蔽掉。不能遺漏。如果用戶組不屏蔽掉其權(quán)限,屬于這個組的ADMIN以及GUEST都可以打開數(shù)據(jù)庫了。
5、然后對PINEWOOD對數(shù)據(jù)庫的權(quán)限進(jìn)行設(shè)置,當(dāng)然,應(yīng)該是所有權(quán)限都有。對NEWUSER權(quán)限進(jìn)行設(shè)置,當(dāng)然對所有表、查詢等除了修改設(shè)計(jì)權(quán)限,讀寫的權(quán)限是應(yīng)該有的,打開數(shù)據(jù)庫的權(quán)限也是應(yīng)該有的,運(yùn)行的權(quán)限也應(yīng)該有的?傊@個帳號是給用戶用的。
6、然后做開發(fā),建立表窗體等。你已經(jīng)做過了,那就導(dǎo)入進(jìn)來。但這時(shí)候你的數(shù)據(jù)庫是安全的,別人是無法從MYCODE中得到任何東西的。除非知道密碼。
7、開發(fā)完后應(yīng)該是分離數(shù)據(jù)庫,不止到你是不是這樣做的,然后讓后臺的MDB數(shù)據(jù)庫一樣的安全。然后編譯前臺程序?yàn)镸DE文件。
8、做個EXE文件,我在別的帖子里說了,簡單的使用NEWUSER帳號打開數(shù)據(jù)庫的EXE文件。是給你的用戶用的,這樣他們除了使用這個EXE使用數(shù)據(jù)庫,沒別的辦法。
9、然后把MDB放到服務(wù)器端,MDE和MDW以及EXE發(fā)布給用戶使用。當(dāng)然MDE和MDB的關(guān)聯(lián)關(guān)系是事先建立并調(diào)試好的。編程中如何處理就不用說了。
10、做到這里就足夠了,對于非常需要安全的開發(fā)者來說本來是還有一些工作要做的。可參見我的別的帖子。“注意”里說了一些。那些問題都是用到了自然會用,未用到的還是沒用。遇到哪個問題解決哪個,賢弟以為然否?

Q  我的天?!難道我要同時(shí)復(fù)制三個文件,mdb & mdw & exe??? ...
先不說vb 的exe可以很方便的反編譯,難道別人就不會把mdw文件先刪除,然后再打開mdb文件嗎?
如果說access的安全性僅限于此,那真的叫“徹底安全”了。 
另外問一下,我需要更“安全”的方法有嗎?前兩次說的方法只要稍微懂一點(diǎn)電腦知識的人就可以解決了。
 
A  對于文件共享方式,服務(wù)器端只需要安裝MDB數(shù)據(jù)庫,客戶端需要安裝的是EXE、MDW和MDE文件。
注意:
1、是MDE文件,而不是MDB,數(shù)據(jù)庫應(yīng)該是放在后端的,而MDE文件是編譯過的,效率高,而且即使密碼被破解也不會泄露源代碼。
2、如果用戶刪除了MDW文件,那么就根本無法訪問數(shù)據(jù)庫了,如果不用我的MDW文件就能訪問我的MDB文件,那我談什么安全。
3、EXE文件未必要用VB,VC、BC、DELPHI都可以,再說VB5以上的版本我還沒聽說可以反編譯的,也沒找到相應(yīng)的工具。
4、目前破解ACCESS數(shù)據(jù)庫的用戶級安全密碼的工具也不少,但是對MDW文件的用戶是可以處理的,可以使之即使破解了MDW文件,也無法獲得使用MDE源程序文件MDB的權(quán)限,更何況MDE源程序文件MDB他是根本無法得到的,因?yàn)楦揪臀窗l(fā)布。無處得到,除非你計(jì)算機(jī)讓人隨便用。所以程序是肯定安全的,數(shù)據(jù)庫的數(shù)據(jù)的安全性雖是相對安全的,但是也是足夠的。

關(guān)鍵詞:Access

贊助商鏈接: