Web数据库安全问题的探讨.docVIP

Web数据库安全问题的探讨 　　摘要:随着网络经济时代的到来,电子商务的迅速发展,企业对WEB数据库提出了更高、更全面的安全性要求。该文从WEB数据库安全的理念、相关技术入手,结合ASP.NET,提出WEB数据库安全实践方法建议。 　　关键词:ASP.NET;安全性;WEB数据库;SQL;用户安全管理 　　中图分类号:TN915 文献标识码:A 文章编号:1009-3044(2009)36-10403-03 　　网络数据库也叫Web数据库。将数据库技术与Web技术融合在一起,实现数据库与网络技术的无缝结合而形成的数据库就是网络数据库。网络经济的迅速发展,企业(或客户)希望能够在任何时候、任何地方、利用任何工具都可以获得网络上的信息,并享受网络通信所带来的经济效益。在实际应用中,网络后台数据库的安全性和计算机系统得安全性相互联系、相互支持,只有各个环节都安全了,才能保证数据库的安全性,才能防止不合法的使用所造成的数据泄密、更改或破坏。 　　1 Web数据库概述 　　Web数据库中,用户通过浏览器就可以完成对后台数据库中数据的插入、删除、查询和修改等操作。 　　随着网络技术的迅速发展, Web数据库里一些商业数据被盗窃后公布于网上、公司商业网站的产品价格数据被恶意修改等等。出现这些现象的原因只有一个,就是来自网络上对Web数据库攻击。到现在,针对Web数据库的应用级入侵已经变得越来越猖獗。如SQL注入、跨站点脚本攻击和未经授权的用户访问等,所有这些入侵都有可能绕过前台安全系统,并对数据库系统攻击。那么,在Web环境下的数据库怎样能够为企业提供可依赖的安全服务呢? 　　2 提高Web数据库安全性的对策 　　2.1 提高ASP.NET平台的安全性 　　ASP.NET应用程序需要访问WEB数据库等非Windows资源,考虑以下几个问题: 　　2.1.1 保护SQL会话状态 　　默认(进程内)ASP.NET会话状态处理程序会受到某些限制。例如,它不能在网络中的其他计算机上运行。为了克服此限制,ASP.NET允许在SQL Server数据库中存储会话状态。 　　可以在Machine.config或Web.config中配置SQL会话状态。 　　machine.config的默认设置如下所示。 　　sessj0nState mode=InProc 　　stateConnectionString=tepip=:42424 　　stateNetworkTimeout=10 　　sqlConnecti0nString=data source=; 　　userid=sa;password= 　　cookieless=false” timeout=20/ 　　默认情况下,SQL脚本InstallSqlState.sql(用于生成SQL会话状态使用的数据库)安装在以下位置:C:\WINNT\Microsoft.NET\Framework\v1.0.3705。 　　2.1.2 采用基于信任连接 　　为了保证数据源的安全,应注意用户标识、密码和数据源名称等连接信息的私密性。使用信任连接是连接到SQL Server最安全的方法,它不在连接字符串中公开用户标识和密码,建议使用该方法对连接进行身份验证。采用基于信任连接SQL Server连接方式是ASP.NET连接SQL Server数据库法中比较安全且有效的方式。 　　2.1.3 防止SQL注入式攻击 　　现时很多网站都流行使用ASP+SQLServer平台来开发,开发者往往忽略对用户输入数据的合法性判断而很容易存在安全隐患。当用户提交一段SQL查询代码,根据返回的结果可获得某些他想得知的数据。这就是SQL注入。攻击者常利用这种技术,达到取得隐藏数据甚至执行数据库主机操作系统命令的目的,后果轻则导致敏感信息泄漏,重则使整个服务器受控。SQL注入的各种途径如下:[2] 　　1) 注入点查询法:如客户端故意提交一个网址http://localhost/xgrsjj/index.asp?ID=123 and user0,服务器运行Select * from 表名 where 某字段=123 and user0,当然是运行不下去,错误信息为:MicrosoftOLE DB Provider for ODBC Drivers (Ox80040E07) [Microsoft][ODBC SQL Server Driver][SQL Server],将nvarchar值’bmbm’转换为数据类型为int的列时发生语法错误。/ xgrsjj/index.asp,第47行。从上可知:该站使用SQL Server数据库,用ODBC连接,连接帐号名rsj。 　　攻击者可再假设网站