数据库插马漏洞一直是网络安全之盲点，的确，此漏洞难以防范，几乎就是针对将.mdb换成.asp这种防范数据库下载的方式。

　　这种招式几乎一击致命，无论你网站防范有多么严密，插马下去，对手看似牢不可破的防线将瞬间崩溃。可见其杀伤力之大。数据库插马这种方式几乎与网络普遍兴起的mdb转asp的数据库防御方式同步。mdb转asp的方式虽然有效，切实解决了数据库被下载的问题，但它又带来了新的问题，那就是asp格式的数据库被插马的风险增加。

　　如今的数据库插马都按照以下步骤进行:

　　1.踩点，对目标网站进行全方位的扫描，判断该网站有无将数据写入数据库的操作，并且是否为asp格式;

　　2.转换，通常是将一句话木马转换为unicode格式;

　　3 .插马，将unicode格式的一句话木马想办法插入到数据库当中，通常是利用一些防注入程序自身的漏洞来进行插马;

　　4.控制，利用插入的一句话木马控制目标机。

　　说到这里，恐怕有人想问个为什么。数据库插马为何会这么厉害，它的原理是什么呢？

　　现代网管为防止网站数据库被下载，泄露敏感信息。他们通常都会将原来的mdb数据库格式更改为asp格式，因为mdb不会被浏览器所解析只会被当做一般文件下载，asp虽然也不被浏览器所解析，但是asp是一种服务器端解析的语言，浏览器的地址栏上虽然显示为asp但是此时的asp已被服务器端解析成了html代码，因此不会被下载。那么数据库被改成asp也应该是数据库啊，怎么会变成杀伤力如此巨大的asp马呢？那是因为数据库本身是由unicode码构成的，转换为asp后就按asp去编译执行，但是原本数据库并没有符合asp语法的代码，因此也就无法执行。但是unicode的一句话马插进去后就被asp引擎解析并且执行，成了将整个网站拱手送人的木马。

　　对于这种杀伤力极大的数据库插马目前没有一个合适的解决办法，只能采取一些预防性的措施，下面介绍一些:

　　1.尽量不要有将数据提交给数据库的方式，如果非得有的话，那就将数据中的unicode代码转换为ansi的;

　　2.保留mdb格式不要再转换为asp格式了，事实证明，这种方式并不可靠。还是变更一下数据库的路径并且改一个数据库的名字吧。