500分求：破解图片验证的完整代码

高数据库的安全性

由于Access数据库加密机制过于简单，因此，如何有效地防止Access

数据库被下载,就成了提高ASP＋Access解决方案安全性的重中之重。

1.非常规命名法

防止数据库被找到的简便 *** 是为Access数据库文件起一个复杂的非常

规名字，并把它存放在多层目录下。例如，对于网上书店的数据库文件，

不要简单地命名为“book.mdb”或“store.mdb”，而是要起个非常规的

名字，例如：faq19jhsvzbal.mdb，再把它放在

如./akkjj16t/kjhgb661/acd/avccx55 之类的深层目录下。这样，对于

一些通过猜的方式得到Access数据库文件名的非法访问 *** 起到了有效的

阻止作用。

2.使用ODBC数据源

在ASP程序设计中，应尽量使用ODBC数据源，不要把数据库名直接写在

程序中，否则，数据库名将随ASP源代码的失密而一同失密。例如：

DBPath = Server.MapPath(“./akkjj16t/

kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)

conn.Open “driver={Microsoft Access Driver (＊.mdb)};dbq=” ＆ DBPath

可见，即使数据库名字起得再怪异，隐藏的目录再深，ASP源代码失密

后，数据库也很容易被下载下来。如果使用ODBC数据源，就不会存在这样

的问题了：

conn.open “ODBC－DSN名”

对ASP页面进行加密

为有效地防止ASP源代码泄露，可以对ASP页面进行加密。一般有两种方

法对ASP页面进行加密。一种是使用组件技术将编程逻辑封装入DLL之中；

另一种是使用微软的Script Encoder对ASP页面进行加密。但是，使用组

件技术存在的主要问题是每段代码均需组件化，操作比较烦琐，工作量较

大；而使用Script Encoder对ASP页面进行加密，操作简单、收效良好。

Script Encoder *** 具有许多优点：

⑴.HTML仍具有很好的可编辑性。Script Encoder只加密在HTML页面中

嵌入的ASP代码，其他部分仍保持不变，这就使得我们仍然可以使用

FrontPage或Dreamweaver等常用网页编辑工具对HTML部分进行修改、完

善，只是不能对ASP加密部分进行修改，否则将导致文件失效。

⑵.操作简单。只要掌握几个命令行参数即可。Script Encoder的运行

程序是screnc.exe，其使用 *** 如下：

screnc [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile

其中的参数含义如下：

s：屏蔽屏幕输出；

f：指定输出文件是否覆盖同名输入文件；

xl：是否在.asp文件的顶部添加@Language指令；

l：defLanguag指定缺省的脚本语言；

e：defExtension 指定待加密文件的扩展名。

⑶.可以批量加密文件。使用Script Encoder可以对当前目录中的所有

的ASP 文件进行加密，并把加密后的文件统一输出到相应的目录中。例

如：

screnc ＊.asp c:\temp

⑷. Script Encoder是免费软件。该加密软件可以从微软网站下载：

http://msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe。下载后，运行安装即可。

利用Session对象进行注册验证

为防止未经注册的用户绕过注册界面直接进入应用系统，可以采用Session对象进行注册验证。Session对象更大的优点是可以把某用户的信息保留下来，让后续的网页读取。

3.改数据库扩展名

你也可以将数据库的扩展名改为.asp，当然在定位数据库的时候也要

用类似database.asp的文件名，这样数据库不会被轻易的下载，而数据

还可以正常的读出写入。

4.向数据库内加错误的asp代码

如果以为做完第3项以后就万事大吉了那就错了，虽然数据库的扩展名

变成了.asp，但是当对方猜到了你的数据库路径以后还是可以下载的，只

不过慢了一些，对方可以等页面完全打开以后“另存为”就可以了。要解

决这个问题可以载数据库内添加错误的asp代码。你可以先建立一个隐藏

表，表内只有一列，并且插入这样一行：

这样一来对方打开数据库的页面时就只会出现asp脚本的错误信息，而不

会下载你的数据库了。

5.对于程序设计中隐患的解决一例

大多数人都认为网站只要加了登录密码就无法正常进入了。而请您看下

面的验证语句：

sql="select uname,pwd from uinfo where "

sql=sql"uname='"request.form("uname")"'"

sql=sql" and pwd='"request.form("pwd")"'"

rs.open sql,conn,1,1

if rs.eof or rs.bof then

response.write "对不起，错误的用户名/密码！"

else

response.write "登录成功！"

end if

可能已经有读者看出来了这段代码是十分危险的，只要对方知道用户名就

可以登录，你可以在密码框里输入“' or '1'='1”就可以了，其原理很

简单，就是利用了sql查询语句，大家注意，用此 *** 提交以后的sql语句

变成了：(如果用户名为administrator)

select uname,pwd from uinfo where uname='administrator' and pwd='' or '1'='1'

如果用户名administrator存在的话那么这个记录是可以被选出来的，之

后当然就是可以正常登录了。

解决方案：

sql="select uname,pwd from uinfo where "

sql=sql"uname='"request.form("uname")"'"

rs.open sql,conn,1,1

if rs.eof or rs.bof then

response.write "对不起，本站没有此用户！"

else

if rs.fields("pwd")=trim(request.form("pwd")) then

response.write "登录成功！"

else

response.write "错误的用户名/密码！"

end if

end if

结束语：以上只是本人在实际编程中积累的一些经验，如有不足还望指

正！

有些平台实名认证需要上传手持身份证照片，他们对手持照有什么要求？模糊不清和文字反向的会通过认证吗？

需要上传手持身份证照片的平台一般是和金钱挂钩的，非常严谨，是需要露出本人的五官，还要保证身份证拍出来可以清晰的看到每一个字。如果照片拍出来人或者是身份证模糊不清，甚至是身份证拿反了，验证都是通过不了的。

对于申请这样的平台我们一定慎重，像是一般的投资理财平台或者是借贷平台会通过这样的方式来验证身份，投资是风险比较大的操作，借贷平台可能不小心就会变成高利贷，在申请的时候一定要注意辨别是否是合规合法的平台，不要轻易申请。

一、 *** 平台实名认证的方式很多，不全是需要手持身份证拍照

*** 平台的实名人社会根据相关事务的重要性来匹配合适的方式，一般的情况下，只需要提供身份证号码就可以了，涉及到更多的时候，则是需要身份证正反面照，我们熟悉的支付宝就是，最复杂的就是需要当事人手持身份证照片认证，这种情况是很少见的。

二、一般是不必要担心有人拿着你的身份证照片在网上去办理贷款业务的

在网上办理贷款，不仅仅是需要提供身份证照片就可以的，放款的机构还会打 *** 来核实情况，询问是不是本人，是否被人胁迫，绑定的银行卡也必须是本人的，还需要担保人才可以成功贷款，还是很安全的。

三、上传手持身份证照片的时候一定要谨慎，避免个人信息泄漏

现在的 *** 非常发达，一些 *** 平台也容易被黑客攻击，盗取信息，如果被泄露是很容易被 *** 骚扰，影响到生活的，如果严重的话，很可能遇到金融骗子，利用掌握的信息骗取你的钱财。

总结：身份证是非常重要的证件，如果是需要上传到 *** 上，应当打上办理相关事件的水印，不可以随便上传，要注意保护自己的隐私，避免受到伤害。

明星健康宝照片2元打包70张，健康宝照片究竟是如何被泄露的？

在健康宝中输入明星的姓名与身份证号，无需再次人脸识别，即可获得他人在录入个人信息时，进行人脸识别的照片，即代拍们所贩卖的“健康宝照片”。同时，如果被搜索的人做过核酸检查，通过该方式还可得到该人的核酸检查结果与检测机构、检测时间。

被黑客窃取了身份证号码手机号个人照片怎么办啊？

更好的办法就是赶紧换一个手机号。身份证号。和个人照片是没办法的，但自己的手机号。是可以换别的号码。这样他就不能？破解自己的微信和支付宝，到取里面的现金希望采纳。

在YY *** 频道上泄露了自己的手持身份证照片和身份证放胸口的视频认证照片，有没有什么事儿？视频认证照

这些身份信息一般最后都会被黑客买家买到用于盗刷余额。不要觉得没事，大多数身份信息是真实且和你的“钱”紧密契合。大多数支付账号绑定了银行卡是开通了快捷支付的，大多数小额消费是不发短信不需要短信验证仅仅需要 *** 支付密码。你的身份证号码图片，手机号，名字，银行卡号一起作为申诉材料与支付官方进行申诉，可以解决一些限制进行盗刷。况且手机和电脑被黑也就分分钟的事，手机和电脑被黑，大多数人什么消息也收不到，因为手机被控，短信被拦截被删除，偶尔有报道说某某被盗刷了还收到了短信，我觉得那是笨贼干的！当个人信息一股闹泄露，除了品牌官方可信，别的怎能保证。

我被人肉了，有人把我的身份证照片曝光论坛上了

建议报警，对方既然已经掌握了你的具体信息，不一定未来还会干出什么，为了你的隐私安全甚至人身安全，报警已经是很妥当的 *** 了。另外，你所谓的忽悠人并没有对任何人造成损失，所以你的行为并不违法，而人肉你的那位已经涉嫌侵犯你的隐私权。身份证照片可以干很多事的。

黑客都有哪些认证可以考的

真正的黑客做的不是无懒而是提供系统漏洞给官方做参考或修改出补丁程序的``不像一些无懒吃饱没事做

网上的软件要身份证照片和视频认证(眨眼动作)这样的安全吗？

平台要求上传身份证照片，目的是实现实名制，一是可以识别用户的合法身份，二是，近期国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》，要求实名制。

想法是善意的，目的是明确的，……手法，也是不错滴！！！

但是这样上传身份证照片，并不是很安全可靠的。

用户在注册的时候，网站会缓存信息，那黑客通过“拖库”、“撞库”等手段，就能获取用户信息，这些信息很可能就会进入身份校验的黑市。

个人觉得，在身份校验这方面，平台方面还是应该想想其他的方式了，比如生物识别，人脸啊，虹膜啊，安全性还是不错的。

在 *** 环境下的信息世界，身份是区别于其他个体的一种标识。为了与其他个体有所区别，身份必须具有唯一性。当然，唯一性也是有范围的，如 *** 号码，在一个区域内是唯一的，如果考虑多个区域，可能会有相同的号码，但只要再添加区域号段，又能唯一区分开来。 *** 环境下的身份不仅仅用于标识一个人，也可以用于标识一个机器、一个物体，甚至一个虚拟的东西（如进程、会话过程等）。因此， *** 环境下的身份是只在一定范围内用于标识事、物、人的字符串。

一、身份认证概述

*** 环境下的认证不是对某个事物的资质审查，而是对事物真实性的确认。结合起来考虑，身份认证就是要确认通信过程中另一端的个体是谁（人、物、虚拟过程）。

那么，怎么知道通信的另一端是谁呢？通常，通信协议都要求通信者把身份信息传输过来，但这种身份信息仅用于识别，不能保证该信息是真实的，因为这个身份信息在传输过程中是可以被恶意篡改的。那么，怎样才能防止身份信息在传输过程中被恶意篡改呢？事实上要完全杜绝恶意篡改是不可能的，特别是在公共 *** （如互联网）上传输的信息，而能做的，就是在身份信息被恶意篡改后，接收端可以很容易检测出来。

要识别真伪，首先要“认识”真实的身份。通过 *** 传递的身份可能是陌生人的身份，如何判断真伪？这里需要阐述一个观点：要识别真伪，必须先有信任。在 *** 环境下，信任不是对一个人的可靠性认可，而是表明已经掌握了被验证身份者的重要秘密信息，如密钥信息。假设A与B之间有一个得到确信的共享密钥，不管这个共享密钥是怎么建立的，他们之间就建立了相互信任。如果A确信掌握B的公开密钥，也可以说A对B建立了信任，但还不能说明B对A建立了信任。从上述讨论不难看到，在完全没有信任基础的情况下，新的信任是不能通过 *** 建立的，否则是不可靠的。

二、身份认证机制

身份认证的目的是鉴别通信中另一端的真实身份，防止伪造和假冒等情况发生。进行身份认证的技术 *** 主要是密码学 *** ，包括使用对称加密算法、公开密钥密码算法、数字签名算法等。

对称加密算法是根据Shannon理论建立的一种变换过程，该过程将一个密钥和一个数据充分混淆和置乱，使非法用户在不知密钥的情况下无法获得原始数据信息。当然一个加密算法几乎总伴随着一个对应的解密算法，并在对称密钥的参与下执行。典型的对称加密算法包括DES和AES。

公钥密码算法需要2个密钥和2个算法：一个是公开密钥，用于对消息的加密；一个是私钥（私有密钥），用于对加密消息的解密。根据名称可以理解，公开密钥是一个能公开的密钥，而私钥只能由合法用户掌握。典型的公钥密码算法包括RSA公钥密码算法和数字签名标准DSS。

数字签名实际是公钥密码的一种应用，其工作原理是，用户使用自己的私钥对某个消息进行签名，验证者使用签名者的公开密钥进行验证，这样就实现了只有拥有合法私钥的人才能产生数字签名（不可伪造性）和得到用户公钥的公众才可以进行验证（可验证性）的功能。

根据身份认证的对象不同，认证手段也不同，但针对每种身份的认证都有很多种不同的 *** 。如果被认证的对象是人，则有三类信息可以用于认证：（1）你所知道的（what you know），这类信息通常理解为口令；（2）你所拥有的（what you have），这类信息包括密码本、密码卡、动态密码生产器、U盾等；（3）你自身带来的（what you are），这类信息包括指纹、虹膜、笔迹、语音特征等。一般情况下，对人的认证只需要一种类型的信息即可，如口令（常用于登录网站）、指纹（常用语登录电脑和门禁设备）、U盾（常用于 *** 金融业务），而用户的身份信息就是该用户的账户名。在一些特殊应用领域，如涉及资金交易时，认证还可能通过更多 *** ，如使用口令的同时也使用U盾，这类认证称为多因子认证。

如果被认证的对象是一般的设备，则通常使用“挑战—应答”机制，即认证者发起一个挑战，被认证者进行应答，认证者对应答进行检验，如果符合要求，则通过认证；否则拒绝。移动通信系统中的认证就是一个典型的对设备的认证，这里设备标识是 *** 卡（SIM卡或USIM卡），认证过程则根据不同的 *** 有不同的 *** ，例如，G *** *** 和3G *** 就有很大区别，LTE *** 又与前2种 *** 有很大不同，但都使用了“挑战—应答”机制。

在物联网应用环境下，一些感知终端节点的资源有限，包括计算资源、存储资源和通信资源，实现“挑战—应答”机制可能需要付出很大代价，这种情况下需要轻量级认证。为了区分对人的认证和对设备的认证，把这种轻量级认证称为对物的认证。其实，对物的认证不是很严格的说法，因为在具体技术上是对数据来源的认证。

三、对“人”的认证

人在 *** 上进行一些活动时通常需要登录到某个业务平台，这时需要进行身份认证。身份认证主要通过下面3种基本途径之一或其组合来实现：所知（what you know），个人所知道的或掌握的知识，如口令；所有（what you have），个人所拥有的东西，如身份证、护照、信用卡、钥匙或证书等；个人特征（what you are），个人所具有的生物特性，如指纹、掌纹、声纹、脸形、DNA、视网膜等。

（一）基于口令的认证

基于口令的认证方式是较常用的一种技术。在最初阶段，用户首先在系统中注册自己的用户名和登录口令。系统将用户名和口令存储在内部数据库中，注意这个口令一般是长期有效的，因此也称为静态口令。当进行登录时，用户系统产生一个类似于时间戳的东西，把这个时间戳使用口令和固定的密码算法进行加密，连同用户名一同发送给业务平台，业务平台根据用户名查找用户口令进行解密，如果平台能恢复或接收到那个被加密的时间戳，则对解密结果进行比对，从而判断认证是否通过；如果业务平台不能获知被加密的时间戳，则解密后根据一定规则（如时间戳是否在有效范围内）判断认证是否通过。静态口令的应用案例随处可见，如本地登录Windows系统、网上博客、即时通信软件等。

基于静态口令的身份认证技术因其简单和低成本而得到了广泛的使用。但这种方式存在严重的安全问题, 安全性仅依赖于口令，口令一旦泄露，用户就可能被假冒。简单的口令很容易遭受到字典攻击、穷举攻击甚至暴力计算破解。特别地，一些业务平台没有正确实现使用口令的认证流程，让用户口令在公开 *** 上进行传输，认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认对象是否为合法访问者。这种实现方式存在许多隐患，一旦记录用户信息的文件泄露，整个系统的用户账户信息连同对应的口令将完全泄露。网上发生的一系列 *** 用户信息被公开到网上的现象，反映的就是这种实现方式的弊病。另外，这种不科学的实现方式也存在口令在传输过程中被截获的安全隐患。随着 *** 应用的深入化和 *** 攻击手段的多样化，口令认证技术也不断发生变化，产生了各种各样的新技术。为了防止一些计算机进程模拟人自动登录，许多业务平台还增加了计算机难以识别的模糊图形。

基于口令的身份认证容易遭受如下安全攻击。

（1）字典攻击。攻击者可以把所有用户可能选取的密码列举出来生成一个文件，这样的文件被称为“字典”。当攻击者得到与密码有关的可验证信息后，就可以结合字典进行一系列的运算，来猜测用户可能的密码，并利用得到的信息来验证猜测的正确性。

（2）暴力破解。也称为“蛮力破解”或“穷举攻击”，是一种特殊的字典攻击。在暴力破解中所使用的字典是字符串的全集，对可能存在的所有组合进行猜测，直到得到正确的信息为止。

（3）键盘监听。按键记录软件以木马方式植入到用户的计算机后，可以偷偷地记录下用户的每次按键动作，从而窃取用户输入的口令，并按预定的计划把收集到的信息通过电子邮件等方式发送出去。

（4）搭线窃听。通过嗅探 *** 、窃听 *** 通信数据来获取口令。目前，常见的Telnet、FTP、HTTP 等多种 *** 通信协议均用明文来传输口令，这意味着在客户端和服务器端之间传输的所有信息（包括明文密码和用户数据）都有可能被窃取。

（5）窥探。攻击者利用与用户接近的机会，安装监视设备或亲自窥探合法用户输入的账户和密码。窥探还包括在用户计算机中植入木马。

（6）社会工程学（Social Engineering）。这是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等设置心理陷阱进行诸如欺骗、伤害等手段，取得秘密信息的手法。

（7）垃圾搜索。攻击者通过搜索被攻击者的废弃物（如硬盘、U 盘、光盘等），得到与口令有关的信息。

为了尽量保证安全，在使用口令时通常需要注意以下几点：

（1）使用足够长的口令，不使用默认口令；

（2）不要使用结构简单的字母或数字，尽量增加密码的组合复杂度；

（3）避免在不同平台使用相同的口令，并且要定期更换口令。

为克服静态口令带来的种种安全隐患，动态口令认证逐渐成为口令认证的主流技术。顾名思义，动态口令是指用户每次登录系统的口令都不一样，每个口令只使用一次，因而也叫一次性口令（OTP , One Time Password），具有“一次一密”的特点，有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步，就可能发生无法使用的问题。OTP的原理是采用一类专门的算法（如单向散列函数变化）对用户口令和不确定性因子（如随机数）进行转换生成一个一次性口令，用户将一次性口令连同认证数据提交给服务器。服务器接收到请求后，利用同样的算法计算出结果与用户提交的数据对比，对比一致则通过认证；否则认证失败。通过这种方式，用户每次提交的口令都不一样，即使攻击者能够窃听 *** 并窃取登录信息，但由于攻击每次窃取的数据都只有一次有效，并且无法通过一次性口令反推出用户的口令，从而极大地提升了认证过程的安全性。 OTP 从技术上可以分为3种形式：“挑战—应答”、时间同步和事件同步。