浅谈数据库安全与Python编程技术.docVIP

软件学院大作业任务书 课程名称： 数据库工程实训 题 目： 浅谈数据库安全与基于Python的SQL注入 完成时间： 2015年6月10日 大作业的要求和内容：（包括实验目的、实验内容、作业要求、作业格式等） 实验目的： 1、检验数据库安全的基本知识点的掌握，包括数据库登陆管理、授权、角色、审核；通讯加密SSL；SQL注入攻击。 2、掌握PYTHON的基本编程技巧，以及与SQL SERVER数据库的连接方法，包括pymssql数据访问技术，flask网关技术。 3、运用已学的安全技术，来分析安全架构，和数据库安全问题。 实验内容： 1、账户安全管理：举例账户安全管理策略 2、账户行为审计：在sql server中开启审计功能，并且在远端登录时，观察审计结果。 3、客户端加密通讯SSL：开启客户端的加密通讯功能，观察传送的用户名和密码等数据。 4、防止sql注入攻击：用flask建立一个简单的测试页面，用pymssql模块测试sql注入攻击的防范 作业要求： 该大作业每人一份，重点描述整个项目的总体框架，以及对python和SQLSERVER 这两种工具的认识体会。 总体部分包括： 介绍 数据库安全技术介绍和理解 账户安全管理 账户行为审计 客户端加密通讯SSL 防止sql注入攻击 总结 作业格式： 按照学院要求的大作业格式，要求封面，和正文两部分，封面包括班级、学号、姓名、指导老师等信息。正文字体为五号宋体，标题为四号宋体。 教师小结： 成绩： 教 师 签 名： 教研部负责人： 学生姓名： 仁晓琴 目 录 摘要 - 1 - 一、 数据库安全技术 - 1 - 1.1 数据库存在的威胁与研究现状 - 1 - 1.1.1 篡改 - 1 - 1.1.2 损坏 - 2 - 1.1.3 窃取 - 2 - 1.2 数据库安全的研究现状 - 2 - 1.2.1 数据库安全的具体标准 - 2 - 1.3 数据库安全策略 - 3 - 1.3.1 最小权利法则 - 3 - 1.3.2 账号安全法则 - 3 - 1.3.3内容加密 - 3 - 1.3.4 存取控制 - 3 - 1.4.5 系统补丁 - 3 - 二、 账户安全管理与行为审计 - 4 - 2.1 账户安全管理 - 4 - 2.1.1 认证 - 4 - 2.1.2 授权认可 - 4 - 2.1.3 加锁 - 4 - 2.1.4 认证操作实例 - 4 - 2.2 SQL SERVER审计机制 - 7 - 2.2.1 TCSEC的安全等级划分 - 7 - 2.2.2 SQL SERVER标准审计级别 - 7 - 2.2.3 SQL SERVER C2级审计的启用 - 7 - 三、 客户端加密通讯SSL - 10 - 3.1 SSL基本原理 - 10 - 四、 防范sql注入攻击 - 10 - 4.1 SQL注入技术 - 10 - 4.2 SQL注入攻击的原理与实现 - 11 - 4.2.1 SQL注入攻击基本原理 - 11 - 4.2.2 SQL注入攻击的常用途径 - 12 - 4.2 SQL注入攻击防范方法 - 12 - 4.3 基于Python的简单案例 - 13 - 五、 总结与体会 - 18 - 文献参考 - 18 - 浅谈数据库安全与基于Python的SQL注入攻击 摘要 随着计算机技术和通讯技术的发展，数据库系统的安全正面临着新的问题和挑战。本文阐述了数据库妥全的研究现状和具体标准，从管理的角度讨论了威胁数据安全的潜在因素及防范措施 ，在此基础上，网络服务构架技术的应用被普遍采用，许多该类型的应用程序在设计与开发时没有充分考虑到数据合法性校验问题，因此使其在应用中存在安全隐患。在横向比较 SQL 注入攻击模式的基础之上，分析了 SQL 注入攻击的特点、原理，并对常用注入途径进行了总结。提出在主动式防范模型的基础上，使用输入验证、SQLServer 防御以及使用存储过程替代参数化查询相结合的形式构建出一种有效防范 SQL 注入攻击的思路和方法。并用Pymssql模块测试表明该防范模型具有较高的实用性和安全性。 关键词:数据库安全，flas