淺談網(wǎng)站開(kāi)發(fā)中數據庫安全問(wèn)題發(fā)布者：本站     時(shí)間：2020-05-05 12:05:31

從開(kāi)發(fā)風(fēng)險來(lái)看, 主要存在的風(fēng)險有:數據登錄風(fēng)險、結構安全問(wèn)題以及服務(wù)器地址設計問(wèn)題, 針對這些問(wèn)題, 筆者對網(wǎng)站設計過(guò)程以及設計人員應該擔負的職責進(jìn)行了一定程度的明晰, 希望能夠對網(wǎng)站開(kāi)發(fā)實(shí)踐有一定的指導作用, 使得網(wǎng)站開(kāi)發(fā)更為穩妥和安全。

1 網(wǎng)站數據庫安全問(wèn)題分析

1.1 數據登錄隱患

數據庫對于電子商務(wù)網(wǎng)站而言, 含有大量數據和信息, 是網(wǎng)站的核心, 在網(wǎng)站開(kāi)發(fā)過(guò)程中, 常常對數據庫的數據信息形成一定程度的威脅, 使其陷入泄露的危機。數據登錄問(wèn)題, 其產(chǎn)生是由于在網(wǎng)站開(kāi)發(fā)時(shí), 技術(shù)人員需要登錄, 在技術(shù)人員第一次經(jīng)過(guò)系統驗證登錄后, 再次訪(fǎng)問(wèn)之時(shí), 便會(huì )出現系統默認賬號, 也就是說(shuō), 技術(shù)人員登錄網(wǎng)站后, 由于系統對其賬號沒(méi)有進(jìn)行處理, 實(shí)際是可以在之后的時(shí)間里自由登錄系統的, 這種漏洞就會(huì )導致在公司內部賬號之外, 由于網(wǎng)站開(kāi)發(fā)過(guò)程中的登錄行為, 出現了一個(gè)“超級用戶(hù)”, 能夠自由進(jìn)入數據庫, 瀏覽其中的信息和數據, 在開(kāi)發(fā)網(wǎng)站發(fā)布之后, 網(wǎng)站登錄便存在著(zhù)極大的隱患。電子商務(wù)網(wǎng)站開(kāi)發(fā)時(shí), 技術(shù)人員登錄系統對其進(jìn)行開(kāi)發(fā)和修改, 由于這種登錄是為了便于技術(shù)人員的操作, 因此對于這些賬號的限制極少, 亦即權限極大, 這種情況之下, 為了便利, 許多公司對于該賬號都沒(méi)有進(jìn)行處理, 系統也不會(huì )識別此賬號與內部賬戶(hù)的區別, 因此開(kāi)發(fā)完成后, 導致數據登錄出現隱患和風(fēng)險。

1.2 數據庫結構安全問(wèn)題

數據庫結構安全, 也就是在數據庫的設計時(shí), 對于其結構沒(méi)有充分進(jìn)行各種因素的考慮, 數據庫的安全存在風(fēng)險, 這種設計不科學(xué)所導致的系統缺漏使得數據庫的數據極容易遭到盜竊。且由于數據表的重命名設計時(shí), 如果技術(shù)人員未利用組合對其進(jìn)行前后綴處理, 則重命名無(wú)法得到遏制, 即系統無(wú)法識別重命名, 從而系統數據存在著(zhù)諸多風(fēng)險。且對于數據字段來(lái)說(shuō), 由于密碼字段的認證以及設置等在網(wǎng)站開(kāi)發(fā)中沒(méi)有考慮到, 而導致存在一定威脅。在網(wǎng)站開(kāi)發(fā)過(guò)程中, 后臺系統的管理安全也是一項嚴重的風(fēng)險問(wèn)題, 由于實(shí)際開(kāi)發(fā)過(guò)程中, 一些技術(shù)人員對于后臺管理的設計本身存在問(wèn)題, 導致在登錄系統時(shí), 可能出現安全屏障, 或者瀏覽權限錯位等問(wèn)題, 使得系統安全性保障降低。且一些技術(shù)人員在開(kāi)發(fā)時(shí), 進(jìn)入系統的賬號被人破解, 從而導致系統數據泄露。且由于開(kāi)發(fā)時(shí)登錄界面的不合理設置, 導致身份驗證環(huán)境出現問(wèn)題, 這種問(wèn)題不僅給內部人員的正常工作帶來(lái)困擾, 更加容易導致系統資料因為外部侵入而出現問(wèn)題。

1.3 服務(wù)器地址設計

在網(wǎng)站開(kāi)發(fā)過(guò)程中, 服務(wù)器地址設計是較為重要的一項工作, 在此項工作中, 如果設計人員不重視或者設計過(guò)程中出現失誤等情況, 則會(huì )導致服務(wù)器地址設計陷入麻煩。服務(wù)器地址設計關(guān)乎著(zhù)網(wǎng)站安全, 一般來(lái)說(shuō), 數據庫與用戶(hù)的連接出現問(wèn)題是數據庫受到數據泄露威脅的主要原因, 但是, 如果設計人員在源代碼的編寫(xiě)時(shí)出現紕漏, 則整個(gè)網(wǎng)站也會(huì )陷入風(fēng)險。服務(wù)器地址設計關(guān)乎著(zhù)服務(wù)器是否會(huì )受到攻擊以及攻擊力度和自身防御機制, 如果服務(wù)器地址的設計出現問(wèn)題, 導致服務(wù)器的地址本身存在問(wèn)題, 則整個(gè)網(wǎng)站的運行會(huì )受到極大限制, 在被攻擊時(shí), 也更容易崩潰。注入泄露問(wèn)題, 在網(wǎng)站開(kāi)發(fā)過(guò)程中, 由于SQL的注入出現漏洞, 導致整個(gè)網(wǎng)站本身處于一種不穩定的狀態(tài), 其安全性以及運行質(zhì)量均會(huì )大打折扣, 在這樣的情況下, 如果黑客對網(wǎng)站進(jìn)行攻擊, 則本身便存在缺陷的網(wǎng)站自身防御能力低, 在黑客攻擊之下很容易被攻破, 此時(shí)網(wǎng)站的數據便會(huì )被盜取, 這種情況下, 網(wǎng)站的工作會(huì )受到極大的影響, 開(kāi)發(fā)質(zhì)量也會(huì )大幅降低。

2 網(wǎng)站開(kāi)發(fā)數據庫安全問(wèn)題的解決

2.1 特殊賬號管理

在網(wǎng)站開(kāi)發(fā)過(guò)程中, 技術(shù)人員必須重視數據庫的安全, 并通過(guò)實(shí)際開(kāi)發(fā)過(guò)程中的保護措施來(lái)實(shí)現這種安全保障, 以免因為開(kāi)發(fā)過(guò)程而導致數據庫存在風(fēng)險。在開(kāi)發(fā)過(guò)程中, 由于技術(shù)人員擁有特殊登錄權限, 因此必須對其建立特殊賬戶(hù), 做好登錄安全保護工作。例如:建立重點(diǎn)賬戶(hù)a, 超級賬戶(hù)與其享有同樣的權限, 但是賬戶(hù)a由于安全性能較低, 因此在對其設計時(shí), 需要重點(diǎn)設置, 通過(guò)賬戶(hù)a的設置來(lái)模擬超級用戶(hù), 并對其權限和登錄進(jìn)行限制和監控, 尤其是對其密碼, 需要設置較為繁瑣的密碼, 防止被人破解而出現資料和數據泄露。數據庫重命名工作也需要得到關(guān)注, 即對于一些目錄、數據表進(jìn)行重命名時(shí), 需要對其前后綴進(jìn)行限制, 防止以簡(jiǎn)單的賬戶(hù)或者密碼命名的事件, 同時(shí)還要設置非法訪(fǎng)問(wèn)阻止, 即重命名需要一定的權限, 如再次輸入密碼等措施, 總之需要進(jìn)一步驗證。數據庫的安全需要在開(kāi)發(fā)過(guò)程中予以考慮, 否則開(kāi)發(fā)完成后便會(huì )出現許多預想不到的數據庫安全問(wèn)題。進(jìn)行特殊的賬號管理是針對登錄風(fēng)險所做出的應對。

2.2 完善后臺數據庫管理

后臺數據庫管理, 在網(wǎng)站開(kāi)發(fā)過(guò)程中必須要進(jìn)行此項工作, 只有這樣才能避免開(kāi)發(fā)中的許多風(fēng)險問(wèn)題。首先, 賬號和密碼的設計需要較為復雜, 防止簡(jiǎn)單密碼設置遭到破解。其次, 技術(shù)人員需要對用戶(hù)權限進(jìn)行設置, 由于網(wǎng)站開(kāi)發(fā)中如果未設置權限, 會(huì )導致后期網(wǎng)站運行時(shí)存在諸多驗證問(wèn)題以及權限錯亂的情況, 因此, 技術(shù)人員需要對權限進(jìn)行設置, 例如Session, 對每個(gè)頁(yè)面進(jìn)行驗證, 對用戶(hù)權限進(jìn)行不同的變量標志設置, 全面進(jìn)行管理。開(kāi)發(fā)人員不適用特殊賬號, 其賬號設計與網(wǎng)站內部人員的密碼設置一樣利用字符連串性強調保密。數據庫的結構安全需要得到技術(shù)人員的重視, 重命名問(wèn)題上文已經(jīng)提到了解決辦法, 此處不加贅述, 對于網(wǎng)站結構來(lái)說(shuō), 需要盡量避免與網(wǎng)站常規操作不一致的操作在開(kāi)發(fā)中出現, 以免成為后期漏洞, 在開(kāi)發(fā)設計時(shí), 便對技術(shù)人員納入網(wǎng)站結構之中, 防止特殊結構的出現。技術(shù)人員在進(jìn)行設計時(shí), 必須考慮到網(wǎng)站結構問(wèn)題, 盡量不要貪圖一時(shí)的快捷, 需要將網(wǎng)站數據和整體結構的安全放在第一位。

2.3 存儲驗證輸入

注入漏洞需要技術(shù)人員采取一定措施加以防范和處理, 首先需要進(jìn)行權限劃分, 普通用戶(hù)與管理員需要進(jìn)行不同的權限認定, 在普通用戶(hù)的訪(fǎng)問(wèn)出現異常時(shí), 可以對用戶(hù)進(jìn)行追蹤或者直接刪除處理, 反正惡意訪(fǎng)問(wèn)和攻擊。其次需要用戶(hù)驗證工作的進(jìn)一步設定, 由于驗證輸入工作需要進(jìn)行字符的合理測試變量, 不能出現二進(jìn)制數據庫現象, 這種驗證系統的設計需要設計人員認真操作, 予以重視, 在現代社會(huì ), 驗證系統趨向更加完整和智能, 驗證內容具有延展性, 因此, 技術(shù)人員需要注意提升驗證內容的科學(xué)性