电子商务网站开发中数据库安全问题研究.doc

电子商务网站开发中数据库安全问题研究 　　【摘 要】随着经济的起飞和电子产品的普及，出现新兴的电子商务，人们的消费方式和交易途径也发生了翻天覆地的变化，电子商务带来的简洁、方便已经成为人们生活不可或缺的交易方式了。但随着电子商务的发展，安全性问题也逐渐浮现出来，比如电子商务网站的客观资料、销售方案、公司内部员工的资料等公司重要资料被攻击者盗取并发布在网上或者对数据库里的东西进行篡改。电子商务网站的安全是电子商务发展的基础跟前提，而作为电子商务网站核心的数据库安全更不容忽视。为了保证交易双方的利益，我们必须保证数据库的安全性。本文进一步对电子商务网站开发中存在的问题进行剖析，并且针对目前电子商务开发中的数据库存在的安全问题，提出保护电子商务网站开发中数据库安全的措施。 【关键词】电子商务 数据库 安全问题 信息全球化的今天，信息流动极其迅速，网络作为信息流动的主要渠道，里面的环境可谓是鱼龙混杂。在网络环境下运行的电子商务数据库就像一个普通的文件，里面储存了公司的大量资料，其中包括成千上万的交易数据和记录、合作伙伴资料，客户联系资料等等一些重要的数据。这些信息都将关系到一个企业的生存和发展，但目前这个网络大环境下，电子商务的数据库被盗取，数据泄露，数据被破坏等恶性事件常有发生，防不胜防，这些都反映了电子商务网站的数据库安全性遭到了很大的威胁，提高数据库的安全性迫在眉睫。要在鱼龙混杂的网络大环境中生存和发展，如何保证数据库的安全性显得尤为重要。 一、电子商务网站开发中的数据库安全问题 （一）操作系统和数据库管理系统存在问题 很多电子商务网站为了贪图方便都首先选择比较简单的WINDOWS系列的操作系统，其次再对LINUX系统的进行考虑，极少人会选择使用UNIX系统。因为目前绝大多计算机用户都使用DINDOWS系列的系统，所以对DINDOWS系统漏洞的发现相对比较容易，增加了黑客攻击系统的机会。其实在维护电子商务网站数据库安全问题上，数据库管理的防范和操作系统同样重要，但是很多运营商却往往存在认识误区，觉得只要做好操作系统的安全工作就行了。所以很多电子商务网站在开发之初对数据库管理系统的选择就缺乏对安全性进行考虑，当用户用web的渠道操作触发器等对象时，必须要进行身份验证，大多数数据库管理系统都有支持对数据库进行访问的账号与密码，比如在SQL Sever数据库管理系统中存在一个用户名为Sa的账号的超级用户，因为SQL Sever数据库管理系统不能对该用户进行删除或者更改名称，因此只能选择对该用户最强烈的保护，但是很多设计人员往往忽略上述存在的隐患而继续使用Sa用户，同时有些设计者往往贪图方便，设置简单容易被人猜测出来的密码例如，654321、555555，更有甚者直接把户空置起来。 （二）数据库的设计过程存在问题 网站开发过程中很多开发者往往只注重对功能的设计，并没有完善前期准备工作而直接进行编码而忽略了很多细节性问题，盲目增加数据库表并缺乏实际性保护措施，对代码的设计也过于随便，很多设计员都有个很不好的习惯，那就是为了方便在很多文件的命名上直接用拼音或者用文件的关键词的用英语形式来命名，往往喜欢在Data目录下放数据库，方便自己之余也“方便”攻击者，让他们更容易找到对应的文件。同时很多重要的数据以明文的形式存进数据库里，使得窃取者有机可乘，一旦攻击者拥有了管理员权限，那他就将进一步攻击网站的数据库，严重的话将会导致整个系统崩溃。 （三）管理系统首页和数据库的链接存在策略上问题 在对电子商务网站的数据库保护上，管理系统举足轻重。但是还是有很多设计者不太注意管理系统的安全问题，在后台管理系统链接方面，很多电子商务企业为了方便管理维护，直接在用户平常浏览的网页上设置后台管理首页链接，在权限设计方面，对管理员身份验证的权限设计薄弱，只有对首页的权限设计做强性要求，黑客可以利用此漏洞，可以避开管理员身份验证权限，攻击网站的后台，窃取数据库数据，另外一些管理员身份验证过于简单，这些都是电子商务开发中存在的安全隐患。数据库的链接同样存在很大问题，很多数据库链接文件都暴露了数据库文件的存取路径、数据库用户的口令还有名称，这些数据库链接都是容易泄露出去的，当攻击者找到这些数据库链接，就可以对数据库进行破坏或者下载。同时在源代码编写时直接使用Sa这种数据库管理系统自带的账号，攻击者就可以直接利用这种漏洞来控制系统的管理。 （四）SQL语句致使的安全问题 使用SQL语句的所有网站都存在因SQL致使的注入漏洞，该漏洞是2004后最具影响的漏洞，它一般是在程序员在编写的时候，没有对用户输入的信息进行判断是否正确的情况下产生安全隐患。攻击者在窃取数据库信息或者提升权限时，可以分析他们加了特殊字符的