解決方案：程序員應該在網頁發(fā)布前對其進行徹底的調試；安全專家需要固定asp 包含文件以便外部的用戶不能看他們。 首先對 .inc 文件內容進行加密，其次也可以使用 .asp 文件代替 .inc 文件使用戶無法從瀏覽器直接觀看文件的源代碼。.inc 文件的文件名不用使用系統(tǒng)默認的或者有特殊含義容易被用戶猜測到的，盡量使用無規(guī)則的英文字母。
�牐�
注意某些ASP編輯器會自動備份asp文件，會被下載的漏洞
在有些編輯asp程序的工具，當創(chuàng)建或者修改一個asp文件時，編輯器自動創(chuàng)建一個備份文件，比如：UltraEdit就會備份一個..bak文件，如你創(chuàng)建或者修改了some.asp，編輯器自動生成一個叫some.asp.bak文件，如果你沒有刪除這個 bak文件，攻擊有可以直接下載some.asp.bak文件，這樣some.asp的源程序就會給下載。
�牐�
在處理類似留言板、BBS等輸入框的ASP程序中，最好屏蔽掉HTML、JavaScript、VBScript語句，如無特殊要求，可以限定只允許輸入字母與數(shù)字，屏蔽掉特殊字符。同時對輸入字符的長度進行限制。而且不但在客戶端進行輸入合法性檢查，同時要在服務器端程序中進行類似檢查。
說明：輸入框是黑客利用的一個目標，他們可以通過輸入腳本語言等對用戶客戶端造成損壞； 如果該輸入框涉及到數(shù)據(jù)查詢，他們會利用特殊查詢輸入得到更多的數(shù)據(jù)庫數(shù)據(jù)，甚至是表的全部。因此必須對輸入框進行過濾。但如果為了提高效率僅在客戶端進行輸入合法性檢查，仍有可能被繞過，因此必須在服務器端再做一次檢查。
�牐�
防止ACCESS mdb 數(shù)據(jù)庫有可能被下載的漏洞
在用ACCESS做后臺數(shù)據(jù)庫時，如果有人通過各種方法知道或者猜到了服務器的ACCESS數(shù)據(jù)庫的路徑和數(shù)據(jù)庫名稱，那么他能夠下載這個ACCESS數(shù)據(jù)庫文件，這是非常危險的。
解決方法：
(1) 為你的數(shù)據(jù)庫文件名稱起個復雜的非常規(guī)的名字，并把他放在幾目錄下。所謂 "非常規(guī)"， 打個比方： 比如有個數(shù)據(jù)庫要保存的是有關書籍的信息， 可不要把他起個"book.mdb"的名字，起個怪怪的名稱，比如d34ksfslf.mdb， 再把他放在如./kdslf/i44/studi/ 的幾層目錄下，這樣黑客要想通過猜的方式得到你的ACCESS數(shù)據(jù)庫文件就難上加難了。
(2)不要把數(shù)據(jù)庫名寫在程序中。有些人喜歡把DSN寫在程序中，比如：
DBPath = Server.MapPath("cmddb.mdb")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
假如萬一給人拿到了源程序，你的ACCESS數(shù)據(jù)庫的名字就一覽無余。因此建議你在ODBC里設置數(shù)據(jù)源，再在程序中這樣寫：