265 messaggi dal 28 aprile 2001
Ciao,
scusate se mi intrometto.
Purtroppo non si puo' avere <b>MAI</b> un buon compromesso a basso costo.
Mi spiego meglio, un DB ACCESS e' violabillissimo; e se non puoi settare i parametri della dir chiunque puo' (sapendo dov'e') puo' fare un download del file.
Purtroppo se devi proteggere il file per lavoro ... devi farti pagare nel senso che dovrai usare uno spazio a pagamento o attivare un servizio hosting gestibile totalmente da consolle.

L'unica soluzione che mi viene in mente e' questa:
devi appoggiarti ad una password e userid per accedere alla dir del DB.
Mi spiego meglio:
mettiamo che questa sia la dir della pagina asp principale che richiamera l'altra asp dove c'e' la connessione "server:\prima.asp"

Diciamo che il DB si trovi "Server:\cgi-bin\database\miodb.mdb"
ed insieme al DB vi e' la pagina della connessio "connection.asp"
Devi fare in modo che puoi accedere ad "connection.asp" solo se viene fatta un'autenticazione nella "prima.asp". Questo lo puoi fare usando le session (dato che non puoi usare un DB al di fuori della dir che ti hanno abilitato), gia' dichiarate, ossia
&lt;% ....
Session("Password")="tuapassword"
idem per userid
%&gt;
Subito dopo che hai effettuato la tua connessione ed estratto i dati dal DB, quando la pagina sara' abbandonata, fai in modo che ritorni in una pagina fuori della dir dove c'e' il DB.

Tu ti chiederai ... Ma perche' tutto sto' casino ???
intanto puoi accedere alla pagina di connessione solo tramite session e questo non e' poco, secondo in questo modo non c'e' un riferimento statito, ossia la tua pagina non e' sempre la stessa.
Inoltre, come ti hanno gia' risposto, la dir del DB la conosci solo tu.

Questo e' quanto io posso dirti, comunque lavorando senza dir protette o DB di una certa rilevanza (SQL server, MySQL etc) non avrai mai la sicurezza al 100% (il 100% non c'e' neanche con DB potente).

Ciao
Filippo


Non dir di me' se di me' non sai, pensa di te ... e poi di me' dirai.

Autore (sottoscritto)

Non dir di me' se di me' non sai, pensa di te ... e poi di me' dirai.

Autore (sottoscritto)
57 messaggi dal 11 gennaio 2002
Si, tu hai ragione...
cmq non è per lavoro ma è tutto per hobby!
Pensa che sono partito solo per fare una paginetta e metterla online! Poi mi sono incuriosito con i form.... e mi
sono chiesto.... ma dove vanno i dati?!! ;)

Allora io ho fatto cosi:
1) Il nome del file di database è alfanumerico di 40 caratteri!....
quindi scoprire l'url è più difficile.......

2) La stringa di connessione al database è esterna tutte
le pagine ASP che la richiedono.... essa si trova in un'altra dir che ho creato (con caratt. alfanumerici......) e tale file sempre ASP
l'ho salvato con un nome alfanumerico!

Il tutto perchè un utente non può vedere il codice ASP giusto e dovrebbe azzeccare l'URL ... giusto??? ( spero di si! :)) )

Cmq ora setto tutte le pagine "sensibili" in modo che scadano subito! .....

Ad. esempio un nome illeggibile alfanumerico (fnjnu3w4hf34fgv...)


Il tutto riduce le probabilità di violazione del database!

p.s. le conversazioni non sono mai a due!
Ciao a tutti e dite la vostra!


MaRcO
57 messaggi dal 11 gennaio 2002
Dimenticavo:
si forse ho capito come dici tu per la password e la session.... e non è male!
Vedrò! ;)

MaRcO

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.