網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題淺析

成維莉 潘愛華 王思璇

摘 要：現(xiàn)代社會，商務網(wǎng)站的開發(fā)已經(jīng)是常事，由于市場競爭大，因此網(wǎng)站在開發(fā)過程中，可能出現(xiàn)各類攻擊手段，系統(tǒng)本身也可能由于開發(fā)過程中的處理出現(xiàn)問題而存在風險，導致其數(shù)據(jù)庫受到一定威脅，筆者針對網(wǎng)站開發(fā)過程中可能出現(xiàn)的問題和解決措施進行分析，希望在開發(fā)過程中，數(shù)據(jù)安全能夠得到重視，尤其是技術人員，需要為數(shù)據(jù)庫的安全承擔責任。

關鍵詞：網(wǎng)站開發(fā) 數(shù)據(jù)庫安全 防范措施

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2017）12（c）-0130-02

從開發(fā)風險來看，主要存在的風險有：數(shù)據(jù)登錄風險、結構安全問題以及服務器地址設計問題，針對這些問題，筆者對網(wǎng)站設計過程以及設計人員應該擔負的職責進行了一定程度的明晰，希望能夠對網(wǎng)站開發(fā)實踐有一定的指導作用，使得網(wǎng)站開發(fā)更為穩(wěn)妥和安全。

1 網(wǎng)站數(shù)據(jù)庫安全問題分析

1.1 數(shù)據(jù)登錄隱患

數(shù)據(jù)庫對于電子商務網(wǎng)站而言，含有大量數(shù)據(jù)和信息，是網(wǎng)站的核心，在網(wǎng)站開發(fā)過程中，常常對數(shù)據(jù)庫的數(shù)據(jù)信息形成一定程度的威脅，使其陷入泄露的危機。數(shù)據(jù)登錄問題，其產(chǎn)生是由于在網(wǎng)站開發(fā)時，技術人員需要登錄，在技術人員第一次經(jīng)過系統(tǒng)驗證登錄后，再次訪問之時，便會出現(xiàn)系統(tǒng)默認賬號，也就是說，技術人員登錄網(wǎng)站后，由于系統(tǒng)對其賬號沒有進行處理，實際是可以在之后的時間里自由登錄系統(tǒng)的，這種漏洞就會導致在公司內部賬號之外，由于網(wǎng)站開發(fā)過程中的登錄行為，出現(xiàn)了一個“超級用戶”，能夠自由進入數(shù)據(jù)庫，瀏覽其中的信息和數(shù)據(jù)，在開發(fā)網(wǎng)站發(fā)布之后，網(wǎng)站登錄便存在著極大的隱患。電子商務網(wǎng)站開發(fā)時，技術人員登錄系統(tǒng)對其進行開發(fā)和修改，由于這種登錄是為了便于技術人員的操作，因此對于這些賬號的限制極少，亦即權限極大，這種情況之下，為了便利，許多公司對于該賬號都沒有進行處理，系統(tǒng)也不會識別此賬號與內部賬戶的區(qū)別，因此開發(fā)完成后，導致數(shù)據(jù)登錄出現(xiàn)隱患和風險。

1.2 數(shù)據(jù)庫結構安全問題

數(shù)據(jù)庫結構安全，也就是在數(shù)據(jù)庫的設計時，對于其結構沒有充分進行各種因素的考慮，數(shù)據(jù)庫的安全存在風險，這種設計不科學所導致的系統(tǒng)缺漏使得數(shù)據(jù)庫的數(shù)據(jù)極容易遭到盜竊。且由于數(shù)據(jù)表的重命名設計時，如果技術人員未利用組合對其進行前后綴處理，則重命名無法得到遏制，即系統(tǒng)無法識別重命名，從而系統(tǒng)數(shù)據(jù)存在著諸多風險。且對于數(shù)據(jù)字段來說，由于密碼字段的認證以及設置等在網(wǎng)站開發(fā)中沒有考慮到，而導致存在一定威脅。在網(wǎng)站開發(fā)過程中，后臺系統(tǒng)的管理安全也是一項嚴重的風險問題，由于實際開發(fā)過程中，一些技術人員對于后臺管理的設計本身存在問題，導致在登錄系統(tǒng)時，可能出現(xiàn)安全屏障，或者瀏覽權限錯位等問題，使得系統(tǒng)安全性保障降低。且一些技術人員在開發(fā)時，進入系統(tǒng)的賬號被人破解，從而導致系統(tǒng)數(shù)據(jù)泄露。且由于開發(fā)時登錄界面的不合理設置，導致身份驗證環(huán)境出現(xiàn)問題，這種問題不僅給內部人員的正常工作帶來困擾，更加容易導致系統(tǒng)資料因為外部侵入而出現(xiàn)問題。

1.3 服務器地址設計

在網(wǎng)站開發(fā)過程中，服務器地址設計是較為重要的一項工作，在此項工作中，如果設計人員不重視或者設計過程中出現(xiàn)失誤等情況，則會導致服務器地址設計陷入麻煩。服務器地址設計關乎著網(wǎng)站安全，一般來說，數(shù)據(jù)庫與用戶的連接出現(xiàn)問題是數(shù)據(jù)庫受到數(shù)據(jù)泄露威脅的主要原因，但是，如果設計人員在源代碼的編寫時出現(xiàn)紕漏，則整個網(wǎng)站也會陷入風險。服務器地址設計關乎著服務器是否會受到攻擊以及攻擊力度和自身防御機制，如果服務器地址的設計出現(xiàn)問題，導致服務器的地址本身存在問題，則整個網(wǎng)站的運行會受到極大限制，在被攻擊時，也更容易崩潰。注入泄露問題，在網(wǎng)站開發(fā)過程中，由于SQL的注入出現(xiàn)漏洞，導致整個網(wǎng)站本身處于一種不穩(wěn)定的狀態(tài)，其安全性以及運行質量均會大打折扣，在這樣的情況下，如果黑客對網(wǎng)站進行攻擊，則本身便存在缺陷的網(wǎng)站自身防御能力低，在黑客攻擊之下很容易被攻破，此時網(wǎng)站的數(shù)據(jù)便會被盜取，這種情況下，網(wǎng)站的工作會受到極大的影響，開發(fā)質量也會大幅降低。

2 網(wǎng)站開發(fā)數(shù)據(jù)庫安全問題的解決

2.1 特殊賬號管理

在網(wǎng)站開發(fā)過程中，技術人員必須重視數(shù)據(jù)庫的安全，并通過實際開發(fā)過程中的保護措施來實現(xiàn)這種安全保障，以免因為開發(fā)過程而導致數(shù)據(jù)庫存在風險。在開發(fā)過程中，由于技術人員擁有特殊登錄權限，因此必須對其建立特殊賬戶，做好登錄安全保護工作。例如：建立重點賬戶a，超級賬戶與其享有同樣的權限，但是賬戶a由于安全性能較低，因此在對其設計時，需要重點設置，通過賬戶a的設置來模擬超級用戶，并對其權限和登錄進行限制和監(jiān)控，尤其是對其密碼，需要設置較為繁瑣的密碼，防止被人破解而出現(xiàn)資料和數(shù)據(jù)泄露。數(shù)據(jù)庫重命名工作也需要得到關注，即對于一些目錄、數(shù)據(jù)表進行重命名時，需要對其前后綴進行限制，防止以簡單的賬戶或者密碼命名的事件，同時還要設置非法訪問阻止，即重命名需要一定的權限，如再次輸入密碼等措施，總之需要進一步驗證。數(shù)據(jù)庫的安全需要在開發(fā)過程中予以考慮，否則開發(fā)完成后便會出現(xiàn)許多預想不到的數(shù)據(jù)庫安全問題。進行特殊的賬號管理是針對登錄風險所做出的應對。

2.2 完善后臺數(shù)據(jù)庫管理

后臺數(shù)據(jù)庫管理，在網(wǎng)站開發(fā)過程中必須要進行此項工作，只有這樣才能避免開發(fā)中的許多風險問題。首先，賬號和密碼的設計需要較為復雜，防止簡單密碼設置遭到破解。其次，技術人員需要對用戶權限進行設置，由于網(wǎng)站開發(fā)中如果未設置權限，會導致后期網(wǎng)站運行時存在諸多驗證問題以及權限錯亂的情況，因此，技術人員需要對權限進行設置，例如Session，對每個頁面進行驗證，對用戶權限進行不同的變量標志設置，全面進行管理。開發(fā)人員不適用特殊賬號，其賬號設計與網(wǎng)站內部人員的密碼設置一樣利用字符連串性強調保密。數(shù)據(jù)庫的結構安全需要得到技術人員的重視，重命名問題上文已經(jīng)提到了解決辦法，此處不加贅述，對于網(wǎng)站結構來說，需要盡量避免與網(wǎng)站常規(guī)操作不一致的操作在開發(fā)中出現(xiàn)，以免成為后期漏洞，在開發(fā)設計時，便對技術人員納入網(wǎng)站結構之中，防止特殊結構的出現(xiàn)。技術人員在進行設計時，必須考慮到網(wǎng)站結構問題，盡量不要貪圖一時的快捷，需要將網(wǎng)站數(shù)據(jù)和整體結構的安全放在第一位。

2.3 存儲驗證輸入

注入漏洞需要技術人員采取一定措施加以防范和處理，首先需要進行權限劃分，普通用戶與管理員需要進行不同的權限認定，在普通用戶的訪問出現(xiàn)異常時，可以對用戶進行追蹤或者直接刪除處理，反正惡意訪問和攻擊。其次需要用戶驗證工作的進一步設定，由于驗證輸入工作需要進行字符的合理測試變量，不能出現(xiàn)二進制數(shù)據(jù)庫現(xiàn)象，這種驗證系統(tǒng)的設計需要設計人員認真操作，予以重視，在現(xiàn)代社會，驗證系統(tǒng)趨向更加完整和智能，驗證內容具有延展性，因此，技術人員需要注意提升驗證內容的科學性。

3 結語

網(wǎng)站開發(fā)作為一種提升網(wǎng)站運行效率和質量的現(xiàn)代化手段，稍有不慎便可能給整個網(wǎng)站的安全帶來威脅，因此，網(wǎng)站開發(fā)中的風險研究及其應對具有重要的研究意義，希望開發(fā)技術人員能夠重視這一點并在開發(fā)實踐中予以踐行。

參考文獻

[1] 王德山，王科超.電子商務網(wǎng)站開發(fā)中的數(shù)據(jù)庫安全問題與防范對策淺析[J].網(wǎng)絡安全技術與應用，2016（1）：49.

[2] 江龍.電子商務網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題探討[J].計算機光盤軟件與應用，2016（17）：37-38.

[3] 馮書晶.電子商務網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題思考[J].網(wǎng)絡安全技術與應用，2017（6）：10，12.