Sample XML Sitemap Index

The following example shows a Sitemap index in XML format. The Sitemap index lists two Sitemaps:
<?xml version="1.0" encoding="UTF-8"?>
   <sitemapindex xmlns="http://www.google.com/schemas/sitemap/0.84">
   <sitemap>
      <loc>http://www.example.com/sitemap1.xml.gz</loc>
      <lastmod>2004-10-01T18:23:17+00:00</lastmod>
   </sitemap>
   <sitemap>
      <loc>http://www.example.com/sitemap2.xml.gz</loc>
      <lastmod>2005-01-01</lastmod>
   </sitemap>
   </sitemapindex>

　　不过如果要发现计算机上面有这样的软件还是一件比较麻烦的事情，估计大家谁也没有耐心在上QQ之前花上30分钟，用进程管理器或查看注册表，分析有没有各种QQ木马，然后再决定是否下载各种清除程序。再说QQ木马层出不穷，谁也无法完全知道各种木马的特征。有没有一些比较简单的方法呢?当然有。
我们可以利用QQ登录原理达到保护QQ密码的目的。QQ启动时，如果存在已登录的号码，此时会出现QQ用户登录画面，由于密码文件已经加密保存在本地文件中，所以此时输入的用户密码不会通过服务器验证，只要通过本地验证就可以了，于是我们就有了以下这样一种方法：　　

　　1.在一个安全的计算机上用注册向导登录（假设号码为123456，此时密码为A），不要关闭QQ，到QQ的安装目录（一般是C:Program FilesTencent），你就会发现你已经有了一个123456目录，拷贝一份副本；

　　2.修改密码（改成密码B）后，关闭QQ；

　　3.用副本里的文件覆盖掉123456目录里的文件；

　　4.把123456里的文件全部保存在邮箱里。如果你用1230以前的版本，则还要保存安装目录下的datoicq2000.cfg文件；如果是1230版本，则保存安装目录下的LoginUinList.dat。

　　5.到网吧、机房等公用计算机上使用QQ时，把各个文件还原到相应的位置。

　　6.运行QQ，此时会直接出现QQ用户登录的界面，而不是注册向导。此时，只要你输入密码（记住，此时的密码是修改前的A，而不是B）你就可以登录成功啦!如果此计算机上有木马的话，记录的是你修改前的密码A，而服务器上登记的密码则是B，虽无法通过服务器的验证，但我们可以正常使用QQ。

　　这种方法虽然较繁琐，但安全性高，而且还可以保存好友分组、聊天记录等信息。

5.数据库放在WEB目录外或将数据库连接文件放到其他虚拟目录下
　　如你的WEB目录是e:webroot，可以把数据库放到e:data这个文件夹里，在e:webroot里的数据库 连接页中修改数据库连接地址为："../data/数据库名" 的形式，这样数据库可以正常调用，但是无法下载的，因 为它不在WEB目录里！这个方法一般也不适合购买虚拟空间的用户。


6.使用ODBC数据源。
　　在ASP等程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码 的失密而一同失密，例如： DBPath = Server.MapPath("../123/ abc/asfadf.mdb ")
conn.open "driver={Microsoft Access Driver(*.mdb)};dbq="& DBPath
　　可见，即使数据库名字起得再怪异，隐藏的目录再深，ASP源代码失密后，也很容易被下载下来。如果使用ODBC数据源，就不 会存在这样的问题了： conn.open "ODBC-DSN名" ,不过这样是比较烦的，目 录移动的话又要重新设置数据源了，更方便的方法请看第7，8法！


7.添加数据库名的如MDB的扩展映射
　　这个方法就是通过修改IIS设置来实现，适合有IIS控制权的朋友，不适合购买虚拟主机用户(除非管理员已经设置了）。这个 方法我认为是目前最好的。只要修改一处，整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载。
　　我们在IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的D LL（或EXE等）似乎也不是任意的，选择不当，这个MDB文件还是可以被下载的， 注意最好不要选择选 择asp.dll等。你可以自己多测试下
　　这样修改后下载数据库如：http://www.test.com/dat a/dvbbs6.mdb。就出现（404或50 0等错误）


8：使用.net的优越性
　　动网的木鸟就写过一个防非法下载文件的"WBAL 防盗链工具"。具体可以登陆http://www. 9seek .com/WBAL/ ;
　　不过 那个只实现了防止非本地下载的 ，没有起到真正的防下载数据库的功能。不过这个方法已经跟5法差 不多可以通过修改.NET文件，实现本地也不能下载！

　　这几个方法中，只有第7和8个是统一性改的，一次修改配置后，整个站点的数据库都可以防止下载，其他几个就要分别修改数据库 名和连接文件，比较麻烦，不过对于虚拟主机的朋友也只能这样了！

　　其实第6个方法应该是第5个方法的扩展，可以实现特殊的功能，但对于不支持.net的主机或者怕设置麻烦的话，还是直接用第 5个方法了，而且默认情况下第6个方法，依然可以通过复制连接到同主机的论坛或留言本发表，然后就可以点击下载了（因为这样的引 用页是来自同主机的）

9.利用NTFS分区的文件权限设置(by percyboy)
我们已经知道，ASP.NET 中使用 ADO.NET 访问数据库，通过 OleDb 的连接可以访问 Access 数据库— —我们非常常用的低端数据库之一。本文讨论了 ASP.NET 中可能看到的若干错误提示，从中看到Access 2000 和 Access XP 创建的数据库文件，在访问出现错误时会出现不太相同的错误提示。希望对大家有所帮助。另一个要点是，希望通过此文，使大家对 ASP. NET 中 Access 数据库文件的 NTFS 权限设置有所新的认识 。


(一)实验过程


为了叙述方便，举个具体例子做个实验：应用程序为 /test ，数据库存放在 D:wwwr oot estdatadb1.mdb，我们已经知道在 ASP.NET 中是以一个叫做 ;ASPNET 虚拟用户的身份访问数据库的，我们需要给这个账户以特定的 NTFS 权限才能 使 ASP.NET 程序正常运行。



为了得到最严格的 NTFS 权限设置，实验开始时我们给程序最低的 NTFS 权限 ：

a) D:wwwroot estdata 文件夹的给用户ASPNET 以如下权限：
允许 拒绝
完全控制 □ & nbsp;□
修改 ; ;□ □
读取及运行 & nbsp; √ □ ;
列出文件夹目录 ; √ □
读取 ; ;√ □
写入 ; ;□ □

b) D:wwwroot estdatadb1.mdb 文件本身给用户ASPNET以如下权限：
√ 允许将来自父系的可继承权限传播给该 对象



1.1 对于某个只包含有"SELECT"命令的aspx程序，上述权限设置运行时无障碍，即：上述权限 已经满足这类程序的运行了。


1.2 对于包含有"UPDATE""INSERT""UPDATE"等命令的aspx程序， ;

(a) 如果 db1.mdb 是 Access 2000 创 建的数据库，出现如下错误：

"/test"应用程序中的服务器错误。
---------------------------------------
Microsoft Jet 数据库引擎打不开文件D:wwwroot estdata。它已经被别的用户以独占方式打开，或没有查看数据的权限。
说明: 执行当前 Web 请求期间，出现未处理的异常。请检查堆栈跟踪信息，以了解有关该错误 以及代码中导致错误的出处的详细信息。
异常详细信息: System.Data.OleDb.OleDbException: Microsof t Jet 数据库引擎打不开文件D:wwwroot estdata。 它已经被 别的用户以独占方式打开，或没有查看数据的权限。


(b) 如果 db1.mdb 是 Access XP 创建的 数据库，出现如下错误：

"/test"应用程序中的服务器错误。
----------------------------------------------
操作必须使用一个可更新的查询。
说明: 执行当前 Web 请求期间，出现未处理的异常。请检查堆栈跟踪信息，以了解有关该错误 以及代码中导致错误的出处的详细信息。
异常详细信息: System.Data.OleDb.OleDbException: 操作必须使用一个 可更新的查询。


(c) 原因初步分析：因为包含有"UPDATE""INSERT""UPDATE"等命令，需要对数据库文件本身进 行写入操作，所以上述权限不能满足此需求，我们需要进一步放开权限。

我们放开一些权限，
a) D:wwwroot estdata 文件夹不变： & nbsp;

b) D:wwwroot estdatadb1.mdb 文件本身给用户ASPNET以如下权限：
允许 拒绝
完全控制 □ & nbsp;□
修改 ; ;□ □
读取及运行 & nbsp; √ □ ;
列出文件夹目录 ; √ □
读取 ; ;√ □
写入 ; ;√ □



1.3 放开权限后继续实验，

(a) 如果 db1.mdb 是 Access 2000 创 建的数据库，出现如下错误：

"/test"应用程序中的服务器错误。
------------------------------------------
不能锁定文件。
说明: 执行当前 Web 请求期间，出现未处理的异常。请检查堆栈跟踪信息，以了解有关该错误 以及代码中导致错误的出处的详细信息。
异常详细信息: System.Data.OleDb.OleDbException: 不能锁定文件。& nbsp;


(b) 如果 db1.mdb 是 Access XP 创建的 数据库，没有出现错误。


(c) 原因初步分析：我们发现在打开 Access 数据库时，同时会在所在目录生成一个同名 的 *.ldb 文件，这是一个 Access 的锁定标记。鉴于此，我们猜测，用户 ASPNET 访问 Access 数据库时，也需要生成一个锁定标记，而该目录没有允许其写入，因此出错。至于 Access XP 创建的数据库为什么没有这个错误，原因还不 得而知。

我们进一步放开权限，
a) D:wwwroot estdata 文件夹给用户ASPNET以 如下权限：
允许 拒绝
完全控制 □ & nbsp;□
修改 ; ;□ □
读取及运行 & nbsp; √ □ ;
列出文件夹目录 ; √ □
读取 ; ;√ □
写入 ; ;√ □

b) D:wwwroot estdatadb1.mdb 文件本身给用户ASPNET以如下权限：
√ 允许将来自父系的可继承权限传播给该 对象



1.4 继续实验，发现错误已解决，那么上面这个权限就是我们需要放开的"最低权限"。

(a) 如果 db1.mdb 是 Access 2000 创 建的数据库，我们会发现一个小问题：生成的 *.ldb 文件不会自己删除，访问后该文件依然存在，但这个 问题不会影响 ASP.NET 的正常运行。


(b) 如果 db1.mdb 是 Access XP 创建的 数据库，没有出现上面类似问题。


(c) 原因初步分析：我们仅仅是给了 ASPNET 以写入文件夹的权限，没有给它修改的权限 ，所以文件一旦写入，便无法修改其内容，*.ldb 也就删除不掉了。


如果非要解决这个问题，进一步放开权限为：
a) D:wwwroot estdata 文件夹给用户ASPNET以 如下权限：
允许 拒绝
完全控制 □ & nbsp;□
修改 ; ;√ □
读取及运行 & nbsp; √ □ ;
列出文件夹目录 ; √ □
读取 ; ;√ □
写入 ; ;√ □

b) D:wwwroot estdatadb1.mdb 文件本身给用户ASPNET以如下权限：
√ 允许将来自父系的可继承权限传播给该 对象



1.5 附带着，实验另一种情形：我们把 db1.mdb 在 Acce ss 打开编辑，同时访问 ASP.NET。

(a) 如果 db1.mdb 是 Access 2000 创 建的数据库，我们发现并没有出现什么问题。


(b) 如果 db1.mdb 是 Access XP 创建的 数据库，出现如下错误：

"/zhao"应用程序中的服务器错误。
------------------------------------------------
不能使用 ；文件已在使用中。
说明: 执行当前 Web 请求期间，出现未处理的异常。请检查堆栈跟踪信息，以了解有关该错误 以及代码中导致错误的出处的详细信息。
异常详细信息: System.Data.OleDb.OleDbException: 不能使用;；文件已在使用中。


(c) 原因初步分析：Access 数据库是单用户单线程的数据库，我们在 Access里面打开编辑数据库文件时其实是以当前 Windows 用户(比如Administrator) 身份打开数据库，而 ASP.NET 默认使用的是 ASPNET 虚拟用户（隶属于 Users 组），级别低于 Administrator，无法和 Adminis trator "抢夺"权限，所以出现冲突错误。至于 Access 2000 忽略 这个问题的情形我们也不必做讨论了，可能是 Access 2000 没有考虑那么多因素吧。& nbsp;


1.6 再附带一种情形：将 db1.mdb 的属性改为"只读"，无论是;Access 2000 还是 Access XP 都将分别出现与& nbsp;1.2 中各自的错误相同的错误提示。


(二)实验结论


(1) 我们首先再次总结一下 Access 数据库文件的 NTFS 权 限设置的缘起：

在 ASP.NET 中默认是以一个叫做 ASPNET& nbsp;的虚拟用户的身份来访问、操作数据库的，你可以在"控制面板"-"管理工具"-"计算机管理"-"本地用户和组"-" 用户"中看到这个用户，默认情况下是：

全名：ASP.NET 计算机帐户
描述为：用于运行 ASP.NET辅助进程(aspnet_wp.exe)的帐户。
隶属于：Users组。

使用这么一个隶属于 Users 组的用户来进行文件操作、数据库操 作的风险是要比用一个 Administrators 组的用户的风险要小得多，这也是 ASP .NET 在安全方面的一个考虑吧。

既然是这么一个用户需要访问、操作数据库文件本身，那么我们就需要给它一定的 NTFS 权限以允许它的访问。显然没有 NTFS 的权限许可，ASPNET 就无 法访问、操作数据库，就会出现上面实验中所看到的那些错误了。


(2) 经过上面的实验，我们已经知道如下的 NTFS 权限设置是可以满足一般需求的：

a) D:wwwroot estdata 文件夹给用户ASPNET以 如下权限：
允许 拒绝
完全控制 □ & nbsp;□
修改 ; ;□ □
读取及运行 & nbsp; √ □ ;
列出文件夹目录 ; √ □
读取 ; ;√ □
写入 ; ;√ □

b) D:wwwroot estdatadb1.mdb 文件本身给用户ASPNET以如下权限：
√ 允许将来自父系的可继承权限传播给该 对象


同时我们也注意到 db1.mdb 是否为"只读"文件对 ASPNET 的访问也会 有一定影响。


(3) 上述权限设置可以直接设置给 ASPNET 用户自己，也可以设置给 Use rs 组，或者直接给 Everyone 组上述权限都是可以的。因为 ASPNET 隶属于 Users 组，可以通过 用户组 给 ASPNET 设置权限。


(4) NTFS 权限在文件或文件夹右击后得到的"属性"对话框-"安全"选项卡中设置，一般情况下，可 以考虑给 Adminitrators 组以"完全控制"的权限，同时不要轻易在"拒绝"中打勾，有关NTFS 权限设置的技巧，可以咨询网络管理员、网络安全专家的建议。

注：FAT, FAT32 格式的分区中不支持 NTFS 权限。


(5) Windows 2000 系列，Windows Server 2003 系列的"安全"选项卡默认是很容易找到的，但 Windows XP Pr ofessional 中的"安全"选项卡默认是关闭的，可以将"控制面板"-"文件夹选项"-"查看"选项卡中的" 高级设置"中"使用简单共享（推荐）"一项的"√"去除，"确定"之后，再次按照上面的方法即可看到"安全"选项卡了。;


===========
综上所述，2、3、4法一起使用，是防止数据库被下载最基本，最行之有效的方 法，既适用于对服务器有管辖权的网管，又适用于虚拟主机的用户，推荐每一个制作者同时必用这三种方法

若你对服务器拥有管辖权，推荐再加上方法9，你的ACCESS数据库的安全性 就可以大大提高了

getfile.htm
-------------------------
<html>

<head>
<title>保存图片到数据库</title>
</head>

<body>
<b>

<p></b>你可以找个图片试试，保存完毕后会有提示</p>

<form METHOD="POST" ENCTYPE="multipart/form-data" ACTION="savetodb.asp">
  <p>Email : <input NAME="email" VALUE="wangcq@sina.com" size="20"><br>
  Picture : <input TYPE="file" NAME="blob"><br>
  <input TYPE="submit" NAME="Enter"> </p>
</form>
</body>
</html>

savetodb.asp
----------------------------------
<%

Response.Buffer = TRUE
Response.Clear
byteCount = Request.TotalBytes

RequestBin = Request.BinaryRead(byteCount)
Dim UploadRequest
Set UploadRequest = CreateObject("Scripting.Dictionary")

BuildUploadRequest  RequestBin

email = UploadRequest.Item("email").Item("Value")

contentType =  UploadRequest.Item("blob").Item("ContentType")
filepathname = UploadRequest.Item("blob").Item("FileName")
filename = Right(filepathname,Len(filepathname)-InstrRev(filepathname,""))
picture = UploadRequest.Item("blob").Item("Value")

'Response.ContentType = contentType
'Response.binaryWrite picture

set objCn = server.createobject("adodb.connection")
set objRst = server.createobject("adodb.recordset")
objCn.Open "upload"
objrst.Open "pic", objcn, 1,3,2
objrst.addnew
objrst.fields("filename")=filename
objrst.fields("type")="gif"

objrst.fields("what").appendchunk picture
objrst.update
response.write "<a href=showpic.asp?id=" & objrst("id") & ">第" & objrst("id") & "个图片。</a>"
objrst.close

objCn.close
set objrst=nothing
set objcn = nothing
%>
<!--#include file="upload.asp"-->

showpic.asp
----------------------------------------
<%
set objCn = server.createobject("adodb.connection")
set objRst = server.createobject("adodb.recordset")
objCn.Open "upload"
objrst.Open "select what from pic where id=" & request("id"), objcn

if not objrst.eof then
    response.binarywrite objrst("what")
end if

objrst.close
objCn.close
set objrst=nothing
set objcn = nothing
%>

<%
Sub BuildUploadRequest(RequestBin)
    'Get the boundary
    PosBeg = 1
    PosEnd = InstrB(PosBeg,RequestBin,getByteString(chr(13)))
    boundary = MidB(RequestBin,PosBeg,PosEnd-PosBeg)
    boundaryPos = InstrB(1,RequestBin,boundary)
    'Get all data inside the boundaries
    Do until (boundaryPos=InstrB(RequestBin,boundary & getByteString("--")))
        'Members variable of objects are put in a dictionary object
        Dim UploadControl
        Set UploadControl = CreateObject("Scripting.Dictionary")
        'Get an object name
        Pos = InstrB(BoundaryPos,RequestBin,getByteString("Content-Disposition"))
        Pos = InstrB(Pos,RequestBin,getByteString("name="))
        PosBeg = Pos+6
        PosEnd = InstrB(PosBeg,RequestBin,getByteString(chr(34)))
        Name = getString(MidB(RequestBin,PosBeg,PosEnd-PosBeg))
        PosFile = InstrB(BoundaryPos,RequestBin,getByteString("filename="))
        PosBound = InstrB(PosEnd,RequestBin,boundary)
        'Test if object is of file type
        If  PosFile<>0 AND (PosFile<PosBound) Then
            'Get Filename, content-type and content of file
            PosBeg = PosFile + 10
            PosEnd =  InstrB(PosBeg,RequestBin,getByteString(chr(34)))
            FileName = getString(MidB(RequestBin,PosBeg,PosEnd-PosBeg))
            'Add filename to dictionary object
            UploadControl.Add "FileName", FileName
            Pos = InstrB(PosEnd,RequestBin,getByteString("Content-Type:"))
            PosBeg = Pos+14
            PosEnd = InstrB(PosBeg,RequestBin,getByteString(chr(13)))
            'Add content-type to dictionary object
            ContentType = getString(MidB(RequestBin,PosBeg,PosEnd-PosBeg))
            UploadControl.Add "ContentType",ContentType
            'Get content of object
            PosBeg = PosEnd+4
            PosEnd = InstrB(PosBeg,RequestBin,boundary)-2
            Value = MidB(RequestBin,PosBeg,PosEnd-PosBeg)
            Else
            'Get content of object
            Pos = InstrB(Pos,RequestBin,getByteString(chr(13)))
            PosBeg = Pos+4
            PosEnd = InstrB(PosBeg,RequestBin,boundary)-2
            Value = getString(MidB(RequestBin,PosBeg,PosEnd-PosBeg))
        End If
        'Add content to dictionary object
    UploadControl.Add "Value" , Value    
        'Add dictionary object to main dictionary
    UploadRequest.Add name, UploadControl    
        'Loop to next object
        BoundaryPos=InstrB(BoundaryPos+LenB(boundary),RequestBin,boundary)
    Loop

End Sub

'String to byte string conversion
Function getByteString(StringStr)
For i = 1 to Len(StringStr)
     char = Mid(StringStr,i,1)
    getByteString = getByteString & chrB(AscB(char))
Next
End Function

'Byte string to string conversion
Function getString(StringBin)
getString =""
For intCount = 1 to LenB(StringBin)
    getString = getString & chr(AscB(MidB(StringBin,intCount,1)))
Next
End Function
%>