解決方案：程序員應該在網頁發布前對其進行徹底的調試；安全專家需要固定asp 包含文件以便外部的用戶不能看他們。 首先對 .inc 文件內容進行加密，其次也可以使用 .asp 文件代替 .inc 文件使用戶無法從瀏覽器直接觀看文件的源代碼。.inc 文件的文件名不用使用系統默認的或者有特殊含義容易被用戶猜測到的，盡量使用無規則的英文字母。
�牐�
注意某些ASP編輯器會自動備份asp文件，會被下載的漏洞
在有些編輯asp程序的工具，當創建或者修改一個asp文件時，編輯器自動創建一個備份文件，比如：UltraEdit就會備份一個..bak文件，如你創建或者修改了some.asp，編輯器自動生成一個叫some.asp.bak文件，如果你沒有刪除這個 bak文件，攻擊有可以直接下載some.asp.bak文件，這樣some.asp的源程序就會給下載。
�牐�
在處理類似留言板、BBS等輸入框的ASP程序中，最好屏蔽掉HTML、JavaScript、VBScript語句，如無特殊要求，可以限定只允許輸入字母與數字，屏蔽掉特殊字符。同時對輸入字符的長度進行限制。而且不但在客戶端進行輸入合法性檢查，同時要在服務器端程序中進行類似檢查。
說明：輸入框是黑客利用的一個目標，他們可以通過輸入腳本語言等對用戶客戶端造成損壞； 如果該輸入框涉及到數據查詢，他們會利用特殊查詢輸入得到更多的數據庫數據，甚至是表的全部。因此必須對輸入框進行過濾。但如果為了提高效率僅在客戶端進行輸入合法性檢查，仍有可能被繞過，因此必須在服務器端再做一次檢查。
�牐�
防止ACCESS mdb 數據庫有可能被下載的漏洞
在用ACCESS做后臺數據庫時，如果有人通過各種方法知道或者猜到了服務器的ACCESS數據庫的路徑和數據庫名稱，那么他能夠下載這個ACCESS數據庫文件，這是非常危險的。
解決方法：
(1) 為你的數據庫文件名稱起個復雜的非常規的名字，并把他放在幾目錄下。所謂 "非常規"， 打個比方： 比如有個數據庫要保存的是有關書籍的信息， 可不要把他起個"book.mdb"的名字，起個怪怪的名稱，比如d34ksfslf.mdb， 再把他放在如./kdslf/i44/studi/ 的幾層目錄下，這樣黑客要想通過猜的方式得到你的ACCESS數據庫文件就難上加難了。
(2)不要把數據庫名寫在程序中。有些人喜歡把DSN寫在程序中，比如：
DBPath = Server.MapPath("cmddb.mdb")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
假如萬一給人拿到了源程序，你的ACCESS數據庫的名字就一覽無余。因此建議你在ODBC里設置數據源，再在程序中這樣寫：