SQL Server网站数据库常见安全隐患与对策探析.docVIP

SQL Server网站数据库常见安全隐患与对策探析 　　摘要：文章分析了基于SQL Server网站开发过程中常见的安全隐患，并针对性提出预防对策。 　　关键词： 网站数据库 安全隐患 对策 　　随着互联网的高速发展，网站受到黑客的骚扰事件时有发生，网站数据库里的重要数据被窃取或被恶意修改等类似的案例比比皆是，特别是对于电子商务网站，网站数据库关系到企业兴衰、成败，比如交易记录、商业秘密和账号数据等，因此网站数据库的安全问题是目前网站用户关心的热点问题。 　　一、常见的网站数据库的安全隐患 　　网站的开发过程中，多数人认为只要把网络和操作系统的安全做好就行，导致网站数据库在网站开发阶段就存在漏洞，以SQL Server数据库为例，下面总结常见的数据库安全隐患。 　　1.数据库登录方式的隐患 　　在网站的设计过程中，数据库可以通过两种方式登录，一是Windows验证方式，另一个是数据库访问验证方式，在对数据库中的对象（表、视图、触发器等）进行操作时最好是通过数据库访问的身份认证方式。 　　数据库存在很多默认的账号，可支持对数据库资源的各级访问。有一个用户名为Sa的默认账号，此用户为超级用户，不能更改和删除，所以必须对这个账号进行最强的保护或者将其禁用。有些开发者为了使用方便，没有设置或者设置较为简单的密码，在网站发布后没有及时修改或屏弃，这会给网站带来灾难性的后果。 　　2.数据库结构安全问题 　　首先是数据库的存放位置.有些设计者爱把数据库放在，Data、My data、Database等目录下，这种做法很容易被别有居心的人猜解到并下载用户数据库，从而使电子商务网站的所有数据被窃取。其次是数据表的命名问题。为了安全需要，不要直接用类似Admin、User、Product等作为表名.可以考虑用字母和数宇组合作为表名的前后缀，以防止SQL注入时被猜解出表名。再者，就是数据字段的命名问题。同样在数据字段命名时。也不要直接用Admin、UserName、用户名、密码、Password、Pwd、UserPwd等敏感字样作为字段名，可以考虑采用组合命名的方式作为字段名以加强数据的安全性。 　　3后台管理系统的安全策略设计引起的安全问题 　　（1）后台管理登录页面是后台安全的一个屏障，后台管理系统操作权限设计的安全问题需要引起重视。有些设计人员只设置一个管理级别，使所有的管理员都拥有最高权限，并使用易猜测的用户名及密码。如以Admin、Manager、Master等作为用户名，同样，使用123456、11111等简单密码作为管理员的口令。这些易猜测的用户名及密码，成为网站开发中影响网站数据库安全的重大隐患。 　　（2）虽然在后台设计了登录页面，但是在其他的管理页面却没有要求身份验证，这使得有些人通过猜测，得到管理页面的URL地址，从而绕过验证页面进入到后台管理中去.危及网站数据库的安全。 　　（3）数据库连接的安全问题也是不容忽视的一个常见问题。如下面的连接字符串： 　　 　　其中Server是连接的服务器IP地址，uid是指用户的用户名，pwd是指用户使用数据库的密码，database是指网站数据库在服务器端的数据库的存放路径及名称。可以从中发现以下两大安全问题：其一，将服务器的地址、数据库用户的用户名及口令、数据库文件名及文件存储路径直接存放在数据库连接文件中，一旦这些连接文件中的内容外泄，网站数据库就会遭受灭顶之灾；其二，在源代码编写时，直接使用数据库管理系统提供的默认账号Sa，使得攻击者能利用这个漏洞，通过构建特殊的用户权限，直接操纵数据库系统管理软件，危及网站数据库的安全。 　　二、网站数据库安全对策 　　1.管理好数据库系统中特殊的账号，像Sa既然不能删除也不能修改，可以禁用，然后重新建立一个拥有与该账号权限相同的超级用户来管理数据库。如果有特殊需要非得使用，则必须给此账号最强的保护，密码尽量要复杂些。另外，还要注意及时更新数据库软件的漏洞，不给人可乘之机。 　　2.尽量避免常规命名，如网站目录名、数据库、数据表及字段等，不要让人能够轻易的猜测到名字。这样，对于一些通过猜测的方式得到数据库相关信息的非法访问就可起到有效的阻止作用。 　　3.加强后台数据库的管理。①设置管理员的账号和密码不宜过于简单或者容易猜测到，而且在代码中最好不要频繁出现。②一定要避免非法用户绕过登录页面，通常我们可以设置一个用户权限标识Session变量来实现，然后在每个页面进行验证。③数据库在连接的时候最好避免使用数据库中的特殊账号，还要注意连接字符串的必威体育官网网址。 　　还有一个最重要的不要忽略掉一如何有效防止SQL语句导致的注入漏洞。第一，普通用户与系统管理员用户的权限要有严格的区分。如果在一个普通用户的查询语句中加入了Drop Table语句，这是不符合