網(wǎng)站開發(fā)之中數(shù)據(jù)庫安全問題分析

摘 要：隨著計算機技術(shù)以及網(wǎng)絡(luò)通訊技術(shù)的迅猛發(fā)展，人們也越來越依賴網(wǎng)絡(luò)信息，在此背景下，我國的互聯(lián)網(wǎng)產(chǎn)業(yè)蓬勃發(fā)展起來，然而在其發(fā)展的過程中卻存在著一些安全隱患。作為互聯(lián)網(wǎng)的核心，數(shù)據(jù)庫的安全對互聯(lián)網(wǎng)的正常運行有著直接的影響。因此，在網(wǎng)站開發(fā)過程必須要注意數(shù)據(jù)庫的安全問題，本文就此對網(wǎng)站開發(fā)之中數(shù)據(jù)庫的安全問題展開詳細(xì)的分析，并針對問題提出相應(yīng)的解決措施。

關(guān)鍵詞：網(wǎng)站開發(fā)；數(shù)據(jù)庫；安全問題

中圖分類號：TP393.092

一般來講，數(shù)據(jù)庫的安全性就是要求無論發(fā)生什么情況，都要保證數(shù)據(jù)庫的任一部分不會被任意的修改或者損壞。作為網(wǎng)站信息系統(tǒng)的核心，數(shù)據(jù)庫不僅能夠促進(jìn)還能夠保護(hù)網(wǎng)站的發(fā)展，因此網(wǎng)站開發(fā)過程中就會要求數(shù)據(jù)庫要具備更高的安全性。然而，目前在我國網(wǎng)站開發(fā)之中，數(shù)據(jù)庫的安全性方面還存在很多問題，這在一定程度上給用戶或者企業(yè)的利益帶來了威脅。因此，采取相應(yīng)措施來提高網(wǎng)站數(shù)據(jù)庫的安全是非常重要而且很有必要的。

1 網(wǎng)站開發(fā)過程中數(shù)據(jù)庫存在的安全問題

1.1 操作系統(tǒng)比較單一。眾所周知，Windows系統(tǒng)有兩大特點：一是操作方便，二是容易掌握。因此Windows系統(tǒng)是目前人們最常用的電腦操作系統(tǒng)。但是由于該系統(tǒng)的代碼并非開源，也就是說看不到程序的源代碼，而且不能為了二次開發(fā)進(jìn)行再次編譯，這樣一來，一旦系統(tǒng)出現(xiàn)漏洞，這些漏洞就可能極易被利用，從而使系統(tǒng)受到不同程度的攻擊。而且從發(fā)現(xiàn)漏洞到官方公布補丁這個過程是需要一定時間的，那么系統(tǒng)數(shù)據(jù)庫在等待的這段時間內(nèi)就極易產(chǎn)生安全問題。相反，Linux系統(tǒng)本身就是開源的，也就是說程序的源代碼是可以被看到的，因此，若發(fā)現(xiàn)系統(tǒng)漏洞后，官方就能夠盡快的公布補丁時間，換句話說就是漏洞被利用攻擊的時間就會相應(yīng)的縮短。

1.2 軟、硬件設(shè)施不配套。隨著社會的不斷發(fā)展和人們生活水平的不斷提高，性能高的服務(wù)器越來越受到企業(yè)或者個人的喜愛。然而，在組裝好硬件設(shè)施并且聯(lián)網(wǎng)后，企業(yè)或者個人卻往往忽略了后期的管理與投資，造成了軟、硬件設(shè)施的不配套。而且后期網(wǎng)站的管理及維護(hù)人員一般都是臨時培訓(xùn)上崗的，并沒有接受過專業(yè)系統(tǒng)的學(xué)習(xí)。因此，受到知識結(jié)構(gòu)和技術(shù)的水平限制，一旦網(wǎng)站數(shù)據(jù)庫出現(xiàn)安全問題，這些管理人員都不能夠及時的采取相應(yīng)措施進(jìn)行補救。

1.3 數(shù)據(jù)庫自身不完善。系統(tǒng)工程方法是用以組織實施網(wǎng)站開發(fā)的基礎(chǔ)性方法，然而，目前我國大多數(shù)網(wǎng)站開發(fā)者的工作重心卻在于網(wǎng)站功能的設(shè)計以及實現(xiàn)上，所以往往會采用直接編寫代碼的方法而不是系統(tǒng)工程法。這樣一來，隨著需求的變化，數(shù)據(jù)庫表也會相應(yīng)的增加，那么在數(shù)據(jù)表中就會出現(xiàn)企業(yè)的商業(yè)敏感數(shù)據(jù)，而且通常是以明文的方式，沒有任何加密措施，這樣導(dǎo)致商業(yè)敏感數(shù)據(jù)極易被竊取或者篡改。比如采用明文存儲并且無任何加密措施的CSDN用戶密碼就被黑客竊取并公布。

1.4 后臺管理系統(tǒng)網(wǎng)頁設(shè)計中的安全問題。一般情況下，在網(wǎng)站開發(fā)中Web方式被廣泛應(yīng)用于數(shù)據(jù)庫的訪問以及管理當(dāng)中，并且在實際操作中通過后臺管理系統(tǒng)來實現(xiàn)。然而，在設(shè)計過程中，存在于后臺管理系統(tǒng)首頁的安全隱患經(jīng)常會被設(shè)計人員忽視掉，設(shè)計人員通常會以后期維護(hù)方便為目的，在前臺用戶能夠瀏覽到的網(wǎng)頁上安置后臺管理系統(tǒng)的功能，這樣一來，就會暴露后臺管理系統(tǒng)的首頁地址，從而對網(wǎng)站數(shù)據(jù)庫的安全管理造成不同程度的威脅。比如我國大部分學(xué)校網(wǎng)站都會有兩個管理入口，一個是管理員的選擇窗口，另外一個則是普通用戶的選擇窗口。

1.5 源代碼缺陷導(dǎo)致的安全問題。艾瑞網(wǎng)《2007年1月CNNNIC中國互聯(lián)網(wǎng)第十九次統(tǒng)計報告》中有一項針對“網(wǎng)頁形式分類”的調(diào)查，根據(jù)調(diào)查結(jié)果發(fā)現(xiàn)在實際應(yīng)用中，動態(tài)網(wǎng)頁技術(shù)中的ASP技術(shù)仍為廣大用戶的首選。為了防止非法分子的惡意破壞，用戶在輸入數(shù)據(jù)的時候必須要以數(shù)據(jù)的合法性為前提。然而程序員在編寫代碼的時候，并沒有判斷數(shù)據(jù)輸入的合法性，因此，這就給系統(tǒng)應(yīng)用程序的安全造成了一定程度的威脅。

2 網(wǎng)站開發(fā)之中數(shù)據(jù)庫安全問題的解決對策

2.1 選擇合適的操作系統(tǒng)。在網(wǎng)絡(luò)開發(fā)中安裝數(shù)據(jù)庫服務(wù)端的時候，Linux操作系統(tǒng)應(yīng)該作為優(yōu)先選擇，因為相比windows系統(tǒng)，Linux操作系統(tǒng)具有較高的安全性。當(dāng)然，如果有條件的話，一些企業(yè)或者個人可以選擇安全性更高的UNIX操作系統(tǒng)等。從網(wǎng)絡(luò)數(shù)據(jù)庫運行的角度來講，病毒的侵犯是最主要的威脅，因此，治理外圍層的方法應(yīng)該是防、管、殺三者相結(jié)合，并且通過應(yīng)用VPN技術(shù)來建立一個虛擬的網(wǎng)絡(luò)開發(fā)之中數(shù)據(jù)庫系統(tǒng)的專用網(wǎng)，與此同時，通過對防火墻技術(shù)的應(yīng)用來實現(xiàn)網(wǎng)間以及網(wǎng)段間的雙重隔離，從而避免因病毒等的入侵而造成的安全威脅。此外，對數(shù)據(jù)也需要進(jìn)行加密保護(hù)以免數(shù)據(jù)在傳輸過程中被竊取或者篡改。

2.2 加強對軟件設(shè)施的投資。注重網(wǎng)站開發(fā)之中數(shù)據(jù)庫的安全管理是非常有必要的，因為無論硬件設(shè)施有多么的先進(jìn)，如果沒有相應(yīng)的管理，那么硬件設(shè)施也無法發(fā)揮出其應(yīng)有的價值。因此，這就要求技術(shù)人員不能只是會做簡單的輸入輸出工作，必須要有較高的專業(yè)技術(shù)水平，通過各種檢測軟件來檢查網(wǎng)絡(luò)系統(tǒng)的漏洞，并且一旦發(fā)現(xiàn)病毒入侵就要及時采取相應(yīng)的措施來補救。

2.3 建立完善的開發(fā)規(guī)則。在對網(wǎng)絡(luò)代碼進(jìn)行編寫之前，應(yīng)該把系統(tǒng)工程方法作為基礎(chǔ)，并在此基礎(chǔ)上組織實施網(wǎng)絡(luò)開發(fā)。只有在詳細(xì)設(shè)計被批準(zhǔn)通過的基礎(chǔ)上，編碼工作才可以進(jìn)行。與此同時，假如在編寫代碼的過程中出現(xiàn)了錯誤并需要進(jìn)行修改，那必須首先對詳細(xì)設(shè)計進(jìn)行修改，然后對修改后的詳細(xì)設(shè)計進(jìn)行審批，只有審批通過才能繼續(xù)進(jìn)行編寫代碼的工作。此外，應(yīng)該采取相應(yīng)措施對數(shù)據(jù)庫表進(jìn)行加密，然后再一并存儲到數(shù)據(jù)庫中。

2.4 改善后臺管理系統(tǒng)的網(wǎng)頁設(shè)計。在網(wǎng)站開發(fā)之中，不能在公共網(wǎng)絡(luò)暴露后臺管理系統(tǒng)的接口，而是需要在一個單獨的頁面上進(jìn)行設(shè)計，這就需要通過內(nèi)網(wǎng)或者VPN的方式接入這個頁面。此外，設(shè)計人員在設(shè)計的時候要嚴(yán)格把控密碼等重要信息的驗證。對于網(wǎng)站開發(fā)過程中后臺管理系統(tǒng)網(wǎng)頁設(shè)計中的其它的一些規(guī)則，比如說，只有在特定的IP地址才能成功登錄計算機等，像這類規(guī)則它們的靈活度比較高，所以設(shè)計人員可以根據(jù)具體的需求做出相應(yīng)的調(diào)整。但是需要注意的一點是，只有系統(tǒng)管理員才有權(quán)利掌握后臺管理系統(tǒng)的入口網(wǎng)址，為了網(wǎng)站數(shù)據(jù)庫系統(tǒng)的安全性起見，這個入口網(wǎng)址其他人是無權(quán)知道的。

2.5 提高源代碼的質(zhì)量。在編寫代碼的時候，要盡量避免因為使用SQL語句而造成的注入漏洞。首先，要完善網(wǎng)站系統(tǒng)的管理權(quán)限，程序中不能夠使用較高的權(quán)限來對數(shù)據(jù)庫進(jìn)行訪問。其次，開發(fā)系統(tǒng)流程時要確保有良好的程序，比如說在編寫數(shù)據(jù)庫查詢程序的時候應(yīng)用replace函數(shù)，或者采用兩個單引號的方式對輸入變量進(jìn)行標(biāo)注。最后，將核心的代碼隱藏起來，具體的來講就是為了保護(hù)數(shù)據(jù)庫結(jié)構(gòu)以及核心程序代碼，在直接訪問數(shù)據(jù)庫的時候不利用SQL語句，而是采用XML Web Service或者存儲過程。

3 結(jié)束語

隨著計算機技術(shù)以及通訊技術(shù)的不斷發(fā)展，人類的工作和生活越來越依賴網(wǎng)站。同時由于需要包含的信息量越來越多，目前，數(shù)據(jù)庫已經(jīng)逐步發(fā)展成為網(wǎng)站的基本組成要素之一，保證數(shù)據(jù)庫安全運行是一個網(wǎng)站能夠持續(xù)健康發(fā)展的關(guān)鍵，而保證網(wǎng)站開發(fā)中數(shù)據(jù)庫的安全性則是一個動態(tài)的網(wǎng)絡(luò)系統(tǒng)工程。在網(wǎng)站開發(fā)中，首先要增強網(wǎng)站開發(fā)人員的安全意識，其次要不斷對網(wǎng)站進(jìn)行安全性測試，及時修補系統(tǒng)出現(xiàn)的漏洞，最大程度的提高網(wǎng)站開發(fā)之中數(shù)據(jù)庫的安全性，從而能夠使其更好的服務(wù)大眾。

參考文獻(xiàn)：

[1]周波.淺析網(wǎng)站開發(fā)之中數(shù)據(jù)庫安全問題[J].北京電力高等?？茖W(xué)校學(xué)報（自然科版），2013（07）：127-128.

[2]耿燕.網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題分析[J].科技創(chuàng)新導(dǎo)報，2012（11）：15-16.

[3]江龍.電子商務(wù)網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題探討[J].計算機光盤軟件與應(yīng)用，2013（17）：40-41.

作者簡介：徐惠萍（1977.03-），女，甘肅蘭州人，助理研究員，本科，工學(xué)學(xué)士，研究方向：計算機應(yīng)用。

作者單位：甘肅省計算中心，蘭州 730030