Web系统下提高MySQL数据库安全性的研究.pdfVIP

安全技术 Web系统下提高MySQL数据库安全性的研究 胡敏 吴伟明 (北京邮电大学计算机学院 北京 100876) 摘要：MySQL数据库作为一个多线程、多用户的开源关系型管理数据库系统，满足中小型网站降低网站总体拥有成本的需求，成为很多web应用 的后台数据库的热门选择。本文具体分析其 内部和外部的安全机制，分析如何防止未经授权的文件系统访问和网络访问，总结各种漏洞的存在对系统 构成的风险，并给 出相应的防范对策。 关键词：MySQL安全机制 SQLjinX．sQL漏洞攻击防范 中图分类号TP311．132 文献标识码：A 文章编号：1007—9416(2014)09—01850·1 1MySQL的安全机制 接服务器时，服务器检测user表中是否存在一行目标主机、名称以及 MySQL提供的安全机制是简单而且有效的。MySQL数据库管 密码是否相匹配 (图1)。 理员有责任保护数据库中数据的安全性，只有通过认证的用户才能 匹配成功，服务器继续检查user~SSL和资源管理列，即是否需 对数据库中的数据进行操作，这种保护包括内部安全性和外部安全 要进行安全连接，主要进行以下两个方面安全性判断：一是若超出 性两个方面。 了同步连接数或每小时连接数，拒绝连接；二是确定提供的证书和 1．1内部安全 SsL列中指定的证书是否相匹配，若不匹配，拒绝连接。进行第二阶 主要指MySQL数据库服务器文件系统级别的安全性，利用操 段后，MySQL~ 器首先检查每小时语句数和每小时允许更新数的 作系统的相关权限对文件系统的权限进行必要的设置，使数据 目录 操作上限值 ，若超出则拒绝连接；然后确认是否有足够的权限执行 内容不被过分授予，保证只有特定的MySQL数据库管理员才可以对 请求语句。 数据库文件夹进行操作，防止MySQL数据文件夹受到在服务器主机 2SQL注入攻击技术 有账号的人的攻击。 SQL注入技术上是攻击者在预先定义好的查询语句结尾加上 1．2外部安全 额外的SQL语句元素，欺骗数据库服务器执行非授权的查询。SQL注 指从外部通过网络远程连接到服务器 的安全性，通过设置 入漏洞是由于程序员的疏忽，未对用户提交参数进行检查，就将参 MySQL~限表，限制只有提供有效的用户名和口令的合法用户可以 数直接提交给后台的数据库，这些参数里面可能包恶意指令，通过 访问，否则不允许访问数据库管理的数据库内容。MySQL安全系统 在被入侵Web系统执行这些指令，攻击者可以控制网站。 的核心是权限表，对外部安全性的设置是数据库管理员通过修改权 用户在访问Web系统时可以采用3种方式向服务器提交数据 ， 限表进行修改和更新来实现的。通过对权限表进行相应设置，达到 为GET、POST和Cookie。其中GET方式通常是以URL链接参数的形 控制客户端对后台数据库的记录访问权限、对象操作权限、ssL操作 式提交数据到服务器 ，所传递的参数都是可见的，这种方式的安全 权限和资源管理权限。 性较低。POST方式通常是通过页面中的表单向服务器提交数据，例 1．2．1权 限表设置 如用户登录系统的用户名和密码都会采用POST方式提交，参数不 MySQL的权限表存放