Hej

Undrar över en liten grej. Jag har gjort en liten site, den är strax klar, men en sak slog mig när jag arbetade med den och det är att min databas är ju nedladdningsbar via http. Databasen ska innehålla användarnamn & lösenord, så det känns ju inte så säkert att ha dessa liggandes i db, så nu undrar jag hur jag ska lösa detta. Min site ligger ju på ett webhotel så jag kan ju inte lägga den offsite.

Hur säkert är det att skydda sin Access DB med lösenord?
Hur skriver man syntaxen för att connecta till den med användarnamn och lösenord. Just nu har jag inkluderade aspfiler som "kontaktar" databasen, finns det något sätt som folk kan få reda på var databasen ligger och var den heter så att de kan ladda ner den via dessa asp filer?

Hur svårt är det att skapa en kryptering i ASP, tänkte använda tex XOR
eller liknande? Förklara snällt för jag e ny på ASP...

Mikael Alfredsson

Access databasen ska inte placeras i en mapp som är utdelad över http. Det vanligaste på webbhotellen är att dom har skapat en mapp åt dig som heter databases som inte går att "surfa" till.

Hmmm, ska snacka med supporten...

Tack för svaret.

Jag vet att de kör med IIS servrar.
Det jag vill är att man skapar en mapp som bara jag kan komma in till via FTP, men användare på min site ska fortfarande kunna komma åt data i databasen vi asp sidor, vad skulle man sätta för rättigheter i IIS för att uppnå detta, någon som vet???

Tror inte att du kan åstadkomma det med rättigheter, du måste placera databasen i en mapp som inte är "utdelad".

/Johan

Men kan jag då komma åt den via FTP?
Ifall jag lägger till/tar bort en kolumn i DB så måste jag ju be dem
lägga den i katalogen varje gång... :) Eller??

Du kan ju annars lösenordsskydda databasen. Det gör du så här:

Öppna Access, välj arkiv/öppna och markera sedan din databas. Öppna den sedan exklusivt. Sedan väljer du Verktyg/Säkerhet/Ange lösenord för databas och anger lösenordet och väljer Ok.
När du ska ansluta till databasen använder du sedan följande kod:

Conn.Open "Driver={Microsoft Access Driver
(*.mdb)}; DBQ=" & Server.MapPath("din_databas.mdb") & ";pwd=ditt_losen;"

Varje gång någon försöker öppna databasen via http så kommer en inloggningsruta upp där enbart du känner till lösenordet som loggar in dig i databasen!

Hej. Det går alldeles utmärkt att skydda databasen med rätigheter. Tror det var så att IUSR_XXXX endast får ha write rättigheter till databasen. Då går det att använda databasen via ASP men det går inte att ladda ner den. Är inte 100% vilken rättighet det var men det är möjligt i alla fall.

mvh

Philip

P.S. Kollade upp saken alldeles just. IUSR_XXX skall endast ha write rättigheter till databasen så fungerar det som det skall dvs man kan inte ladda ner databasen via http men det fungerar att använda den via ASP.

Men kommer någon åt din databas så är det mycket enkelt att få fram lösenord, så den metoden ska du nog inte helt och hållet lita på.

/Michael

...en fundering kring att lägga den i en mapp som inte är "utdelad":

Hur fungerar det med Server.MapPath - hur skall den se ut?

Om du exvis har en mapp (domain) på root-nivån som är pekad mot din domänaddress...i denna mapp (domain) har du en asp-fil (index.asp) som du vill koppla mot din databas (db.mdb) som ligger i en ej "utdelad" mapp (inofficiell) också på root-nivå...kommer då Server.MapPath i index.asp att bli ../inofficiell/db.mdb?

Har jag fel när jag tänker så?
Är det något att tänka på med detta om jag tänker rätt?

Benet:
Precis så ska du göra!

/Johan

...tackar för svaret!!!

hur gör man för att mappen inte ska vara utdelad???

Jag har fått en "skyddad" mapp upplagd i min rot på webhotellet.

Jag har provat att ladda upp olika sorters filer via FTP, och inga filer går att ladda hem via Http.

Att skriva/hämta data till/från DB fungerar alldeles utmärkt.

Min idé om hur man går tillväga:
På servern finns ett konto: ex. ("TEST").
"TEST" har rättigheter att accessa katalogen databas som ligger i wwwroot.
IUSER_MY_COMPUTER har däremot inga rättigheter att gå in i katalogen.

Klienten ifråga, ber ju inte om att hämta data ifrån databasen, utan detta sköts från serversidan... Har jag rätt eller fel någon???

Bara att testa för den nyfikne.

Hälsningar
Mikael Alfredsson