Access安全性之QA详解

q mdb我用[启动]的所有选项都 false，用封面表单启动，同个工作组的用户没授权是不能开打表修改，但他可以另建一个空数据库，进行导入或链接进行修改，如何防范？请赐教！

a 首先应该用ms access workgroup administrator程序建立自己腗dw文件,比如newsystem.mdw,然后建立一个新的帐号比如newadmin，缺省的有amdin和，比如guest帐号，然后设置各个帐号的密码。然后以newadmin帐号登陆，建立数据库，或者导入现有的数据库中的表或窗体等进行开发。对数据库的安全性进行设置。除了newadmin帐号，将所有的组和用户对该数据库的打开权限都屏蔽掉，其它权限也宜屏蔽掉。这样的话安全了。这样的话打开该数据库只能关联上新建的mdw文件，使用newadmin帐号才能打开。但是实际应用时当然还应该建立一个运行软件的帐号，比如newuser,（最好不要用缺省的“用户”帐号，这样关联到system。mdw上就可以进入，即使你设置密码也不安全，因为copy一个新的system。mdw一样可以关联。）将newuser帐号对各个表的权限相应的设置，能读写，不能修改设计，对窗体只能运行即可，总之它是用来运行的。屏蔽一切可以修改的权限。这样的话开发和运行就是两个帐号，但是新的问题就是如果就这样交给用户使用，那么用户就必须知道newuser帐号的密码，那样的话数据就又不安全了，所以还应该用vb或者delphi做个套子，最简单的写上一句，运行该数据库就行了，比如：strrunshell = "c:/program files/microsoft office/office/msaccess.exe /nostartup"

strrunshell = strrunshell & "/wrkgrp c:/newsystem.mdw c:/pinewood.mde /user newuser /pwd yourpassword"
retval = shell(strrunshell, vbmaximizedfocus)
当然这只是个意思，在这套子里写写别的也可以，比如检查access是否安装了，路径是不是对，是不是注册了等等。（附：用另外一个已经编译成mde文件的数据库也可以达到如上效果）

q 用户安全组我也用过，但是我指的安全性主要针对内部人员，外面的高手如林，根本不要谈安全性了。
access有个致命的毛病(或许我还不会用)，它的安全性性能只能用在当前已设安全机制的数据库，对用户新建的数据库根本无用，用户只需用他的帐户登录access，新建一个*.mdb，再用链接功能即可把后端数据库的表都链接起来(或者前端数据库也可，因为前端数据库的表是链接再后端数据库的表上，他无非是再链接而已)，他只要看懂表的内容，就可以任意修改了。
其实微软稍改access让它的安全机制适用所有的数据库而不是当前数据库，我们就不用伤脑筋去防范一些初哥儿们，作为我们使用安全机制无非也就防范这些内部使用者的非法修改、破坏而已。
所以我们需要access系统级安全机制或office developer edition也有一定的帮助

a 错错错，“用户只需用他的帐户登录access，新建一个*.mdb，再用链接功能即可把后端数据库的表都链接起来(或者前端数据库也可，因为前端数据库的表是链接再后端数据库的表上，他无非是再链接而已)，他只要看懂表的内容，就可以任意修改了。”
这段话错！如果access的安全性真的象贤弟所说的，那我所贴的那些可能都是空谈了。你可能还是没有按照我说贴的实践一番。事实上是不会那样的，因为我是新创建的系统文件（即mdw文件），关联到新的系统文件创建数据库，而此数据库的打开权限只能由我指定的固定的用户比如newuser才有，所以别人，不管关联到什么系统文件上都是无法用新建的数据库联结上的，如果真是那样，access早就该淘汰了！
如果你不相信我可以做一个数据库发给你，看你能不能打开。我1997年开始使用access做开发，对我所完成的各种数据库我都要反复测试的，你所说的情况如果可以，我早就积攒几十个别人开发我想破解掉的数据库了。。。。

q 愚弟还是不明白：
小弟在文中所指的用户是指内部操作人员，我也做过很多测试：
例：我建立一个安全机制的数据库，系统创建一个mdw文件，我设定一个新的只读工作组及一个普通用户（无管理员权），把系统的用户组不设任何权限，然后退出access，选用新的mdw文件，用那个普通用户登录，建立一个新的文件，然后即可导入、链接先前那个已有安全机制的数据库.

a 你可能还是没认真读我的帖子，其实access的帮助中有更详尽的说明，非常详细。不过为了彻底让你明白，我就列个傻瓜式的步骤吧，贤弟不要介意，我也是读着傻瓜式的帮助才逐渐变聪明的。
1、先用access安装目录下的wrkgadm.exe程序创建一个自己的mdw文件。然后关联上。
2、登陆进access后，缺省是admin用户，随便建立mdb，修改admin用户密码，建立一个新的帐号，比如pinewood，作为我今后管理变成用，再建立一个newuser，给我以后的用户用。（可以不建立任何组）
3、重新登陆，以pinewood登陆，然后修改密码，即把空密码修改掉。对newuser帐号也重复一次。
4、以pinewood登陆，建立你所需要开发的数据库mdb源文件，起名字比如mycode保存后即可对安全性设置。安全性设置你应该知道在哪里吧，菜单里有。将所有admin以及guest对mycode的任何权限都屏蔽掉，注意，任何权限，不管是对新表还是新模块，还是对数据库的打开权限，全去掉。然后对所有组对本数据库的全部权限也全屏蔽掉。不能遗漏。如果用户组不屏蔽掉其权限，属于这个组的admin以及guest都可以打开数据库了。
5、然后对pinewood对数据库的权限进行设置，当然，应该是所有权限都有。对newuser权限进行设置，当然对所有表、查询等除了修改设计权限，读写的权限是应该有的，打开数据库的权限也是应该有的，运行的权限也应该有的。总之这个帐号是给用户用的。
6、然后做开发，建立表窗体等。你已经做过了，那就导入进来。但这时候你的数据库是安全的，别人是无法从mycode中得到任何东西的。除非知道密码。
7、开发完后应该是分离数据库，不止到你是不是这样做的，然后让后台的mdb数据库一样的安全。然后编译前台程序为mde文件。
8、做个exe文件，我在别的帖子里说了，简单的使用newuser帐号打开数据库的exe文件。是给你的用户用的，这样他们除了使用这个exe使用数据库，没别的办法。
9、然后把mdb放到服务器端，mde和mdw以及exe发布给用户使用。当然mde和mdb的关联关系是事先建立并调试好的。编程中如何处理就不用说了。
10、做到这里就足够了，对于非常需要安全的开发者来说本来是还有一些工作要做的。可参见我的别的帖子。“注意”里说了一些。那些问题都是用到了自然会用，未用到的还是没用。遇到哪个问题解决哪个，贤弟以为然否？

q 我的天？！！难道我要同时复制三个文件，mdb & mdw & exe??? ...
先不说vb 的exe可以很方便的反编译，难道别人就不会把mdw文件先删除，然后再打开mdb文件吗？
如果说access的安全性仅限于此，那真的叫“彻底安全”了。
另外问一下，我需要更“安全”的方法有吗？前两次说的方法只要稍微懂一点电脑知识的人就可以解决了。

a 对于文件共享方式，服务器端只需要安装mdb数据库，客户端需要安装的是exe、mdw和mde文件。
注意：
1、是mde文件，而不是mdb，数据库应该是放在后端的，而mde文件是编译过的，效率高，而且即使密码被破解也不会泄露源代码。
2、如果用户删除了mdw文件，那么就根本无法访问数据库了，如果不用我的mdw文件就能访问我的mdb文件，那我谈什么安全。
3、exe文件未必要用vb，vc、bc、delphi都可以，再说vb5以上的版本我还没听说可以反编译的，也没找到相应的工具。
4、目前破解access数据库的用户级安全密码的工具也不少，但是对mdw文件的用户是可以处理的，可以使之即使破解了mdw文件，也无法获得使用mde源程序文件mdb的权限，更何况mde源程序文件mdb他是根本无法得到的，因为根本就未发布。无处得到，除非你计算机让人随便用。所以程序是肯定安全的，数据库的数据的安全性虽是相对安全的，但是也是足够的。