浅析网站开发之中数据库安全问题

摘要：近年来计算机技术和网络通讯技术发展十分迅猛，人们对网络信息的依赖性越来越强，方便快捷的互联网产业在赢得人民大众和企业的眼球却有着自己的安全隐患。数据库作为互联网的核心，数据库是否安全直接影响着互联网的正常运行。如何保护敏感信息，防止数据泄露已经成为网站开发中必须考虑的问题。本文分析了网站开发中存在的数据库安全隐患，提出互联网数据库开发中的安全防范措施。

关键词：网站开发 数据库 安全防范 对策

中图分类号：TP393.092 文献标识码：A 文章编号：1007-9416（2013）07-0175-02

1 网站数据库的概述

1.1 网站的结构

网站体系结构主要由服务器、客户端、局域网等组成。在网站内部，由Web服务器、应用服务器等组成，通过防火墙、路由器连接到互联网上，用户通过客户端访问网上内容。在整个系统中，数据库是信息系统的核心，对网站发展起着至关重要的作用。数据库安全性问题指的是对数据库的保护，避免未授权的或者是不合法的使用，从而造成数据泄露、更改或者被恶意破坏等严重后果[1]。其结构如下图所示：

1.2 网站数据库的含义

网站数据库也称为数据空间，指的是动态网站存放网站相关数据的空间。它将数据和资源共享两种方式结合起来，可以通过网站的后台直接将数据信息到网站的数据库内。对于不同规格的网站，可以选用ACCESS数据库。

1.3 网站数据库的作用

（1）网站数据库提供的搜索功能能够方便用户快速高效的找出所需的信息。不仅仅能够节约时间，而且能够提高网站的点击率和经济效益。（2）网站数据库具有收集信息的功能。用户在登陆网站之后能够及时详细的了解到相关信息，达到吸引用户的目的。（3）网站数据库能够更好的管理产品。通过数据库可以方便的将产品电子信息化，方便以后的存储和维护。（4）网站数据库的发展有利于开发具有特殊功能和更具亲和力的网站，改善网络的运行环境[2]。

2 网站开发中数据库存在的安全隐患

2.1 软资源落后

用户虽然购买了高性能服务器，并没有重视后期的管理，投资不足，网站的管理人员没有经过专业的训练，一旦有人攻击网站，管理人员顿时手无顿措。而且目前网站的开发多数基于非开源的windows操作系统，一旦系统具有漏洞，就会被攻击者抓住，在官方没有公布补丁的空白期内，数据库安全遭受威胁。

2.2 开发方案中选用的数据库系统自身安全性

2.2.1 Access数据库对网络数据库带来的安全隐患

在为Access数据库设计加密程序的时候，由于没有考虑到网站的复杂和危险性，所设计的加密机制很简单，即使有负载的密码，解密也相当容易。网站将客户的密码和一个比较固定的密钥异域绑定形成加密串，同时将它存储在*.mdb文件当中。由于数据库的数据两次异域之后就会恢复原值，黑客利用这个特点，将Access数据库的密钥和加密串整合进行第二次异域，就能得到密码。Access数据库没有强大的防护系统，在安全防范方面是比较弱的。我们只需要编写简单的解密程序，就能轻易的进入网站的数据库获取信息，这种状况极大的危害了整个网站的安全[3]。

2.2.2 SQL Server数据库的安全问题

SQL Server数据库安全隐患主要来自两个方面：一是远程的非法用户通过互联网攻击连在网上的用户机器来获得自己想要的数据信息；二是通过一些用户通过不合法的手段获得本地系统的使用权限。

2.3 ASP给网站数据库带来的问题

ASP在程序设计具有潜在的隐患。ASP源代码在和客户进行交互时，其内容会被反应到浏览器的地址栏，此时，如果没有采取措施去保护数据库的安全，运用相关工具记下ASP所要反映的的内容，就可能出现安全隐患问题。当使用相关工具记下了这些内容，ASP就可以绕过网站规定的验证规则直接进入下一步操作。ASP程序源代码也有一些潜在的问题，比如采取非编译性计算机语言进行源代码设计时，攻击者能够轻易获得ASP源代码，造成代码泄露，削弱ASP程序源代码的安全性能，增加代码的危险性。

2.4 代码设计中命名安全问题

设计人员在编码时对于网站文档名、数据库名、网站目录名以及数据表文档名习惯使用与之相对应的中文或英文进行命名，喜欢把数据库放在Database或者Data等目录下，通常用Data、Database等对数据库命名，用User、Admin对数据表命名，也常用Username、Pwd对数据表中的敏感字段命名。这些命名方式易猜测、很容易泄露网站数据库的存储位置，使得网站数据被非法获取。

2.5 后台管理系统的安全策略引起的问题

（1）后台管理系统首页链接的安全隐患。采用Web方式，通过后台管理系统完成对网站数据库的访问和管理是网站开发的常用方式。但是很多企业往往会忽视网站后台管理系统首页的安全。设计人员将后台管理的功能直接放在前台用户能够看到的网页上，虽然后期的维护方便，同时也暴露了后天管理系统的首页地址，威胁了网站数据库的安全。

（2）后台管理系统操作权限设计的安全隐患。在身份认证和密码口令设置时，设计人员为了简化设计往往采用“管理员标识+口令”设定一个固定不变的最高权限身份认证方式，同时采用常用的、易猜测的用户名和密码作为管理员口令，这些都成为影响网站数据库安全的重大的隐患。

（3）后天管理页面缺限制保护的安全问题。拥有后台管理权限的管理员，有时会由于某种原因暂时离开操作现场，此时网站的后台管理页面完全暴露在显示器上，个别别有用心的人此时就能够以合法的权限使用网站中的数据库，甚至能直接打开数据库文件，造成文件信息的泄露。

3 网站开发中数据库系统安全防范措施

3.1 加强软资源的投资

重视对网站数据库的管理，任何先进的硬件资源，没有与之相对应的管理，都不能发挥出其应有的介质。因此管理人员的专业技能，不仅仅需要其会简单的操作，还要能够针对非法入侵，制定相应的措施。操作系统的选取可以选择Linux或者Unix操作系统，同时使用应用防火墙技术将网间隔离和网段间隔离，从而避免病毒的威胁。

3.2 完善代码开发规则，提高源代码质量

以系统工程方法为基础组织代码的编写，只有当详细设计通过时才能开始编写代码，在代码编写的过程中若是需要修改详细设计，则需要先修改，等修改后的设计审批通过后才能继续编写。同时编写的代码中应该避免SQL语句造成的注入漏洞，不要使用SQL语句直接访问数据库，采用XML Web Service或者存储过程保护核心程序代码和数据库结构[4]。

3.3 后台管理系统网页设计

对于后台管理系统，接口不能暴露在公网当中，可以通过一个单独的页面，经过VPN或者内网等方式接入。后天管理系统首页链接也不能直接放在前台用户能够浏览到的网页上，命名也应该采用非常规的命名方法。而其他的命名规则，也需要根据需求进行调整，比如身份认证方式不能采用易猜测的用户名以及口令，在页面中引入时间限制保护策略自动对页面进行加密保护等。

3.4 数据库加密设置

对于ASP程序中的安全状况，需要采取一些措施对其进行加密。选用微软的Script Encoder程序可以对数据库进行加密设置。Script Encoder程序对ASP程序中的任何一个文件加密，并把加密的文件输入到与之相对应的目录之中。同时这种加密方式仅仅对应HTML当中的ASP进行加密，修改方便，操作简单。

4 结语

随着计算机通讯技术的发展，人们对网络重视度越来越高，尤其重视网站数据库的安全，数据库安全问题已经成为网站健康持续发展的一个重要因素。网站开发当中，必须不断加强开发人员的安全意识，减少开发过程当中数据库的安全隐患。总之，在网站的开发阶段，必须重视数据库的安全问题，防患于未然。

参考文献

[1]刘爱云.浅析网站数据库的安全防范及对策[J].科技风，2010，4.

[2]魏媛媛.浅析网络数据库安全技术研究[J].信息与电脑，2010，3.

[3]蒋燕.网站Acess数据库安全保护.电脑知识与技术，2009（6）.

[4]高永平，张瑞卿.基于WEB数据库的安全问题探析[J].电脑知识与技术，2010第6卷第8期.