FSO即Scripting.FileSystemObject组件的简称,它可以操作服务器上的文件,是个很危险(双刃剑)的组件,但又常常不得不用,于是有人常常将这个ProgId改成另外一个名字,只让自己或信任的人知道。
我认为这样不能有效地避免别人使用,因为恶意操作的人可以通过ClsId来使用这个组件,而ClsId是不能通过修改注册表来更改的。
还有个组件是ADODB.Stream,也是服务器内置组件,也可以对文件操作,即使FSO完全被删除了,恶意操作者还可以使用这个组件。
另外改名后,其实还给自己带来很多麻烦,自己的程序要移植到其它机子时,比如服务器转移、重装系统、安装到笔记本演示等等,不得不再修改与ProgId有关的程序或注册表项,很麻烦。
要避免FSO的危害,基本是要设置好NTFS权限,我看过一些提供虚拟主机的服务器,没有真正地将NTFS权限用起来:所有的网站共用一个来宾帐户,Everyone对所有文件夹均有读权限,非常的危险。
