電子商務(wù)網(wǎng)站建設中數據庫安全隱患發(fā)布者：本站     時(shí)間：2019-03-23 11:03:46

隨著(zhù)互聯(lián)網(wǎng)信息化和大數據時(shí)代的到來(lái)，電子商務(wù)平臺以其高效、便捷、成本低、個(gè)性化等特性引領(lǐng)時(shí)代潮流。企業(yè)可以開(kāi)展無(wú)實(shí)體店經(jīng)營(yíng)，個(gè)人足不出戶(hù)即可博覧國內乃至國際一切商品，并進(jìn)一步完成購買(mǎi)環(huán)節。但基于互聯(lián)網(wǎng)的開(kāi)放性和虛擬性特點(diǎn)，電子商務(wù)網(wǎng)站安全問(wèn)題就像一個(gè)隱形“毒瘤”，時(shí)刻威脅著(zhù)企業(yè)和用戶(hù)的安全利益，并制約著(zhù)電子商務(wù)穩健的進(jìn)一步發(fā)展?？梢?jiàn)，企業(yè)在建設電子商務(wù)網(wǎng)站時(shí)，不僅要關(guān)注網(wǎng)站的實(shí)用性和美觀(guān)度，更要注重安全問(wèn)題。電子商務(wù)網(wǎng)站的數據庫是網(wǎng)站的核心信息，比如交易記錄、商業(yè)數據等。因此，如何保證電子商務(wù)網(wǎng)站建設中的數據庫安全就成為開(kāi)發(fā)設計人員首要解決的問(wèn)題。


 
電子商務(wù)網(wǎng)站建設中數據庫的安全隱患電子商務(wù)網(wǎng)站的開(kāi)放性特征，使得網(wǎng)站數據庫本身就存在著(zhù)很大安全隱患，常見(jiàn)電子商務(wù)網(wǎng)站建設中數據庫安全隱患如下。
 
1.基礎硬件的安全隱患
 
電子商務(wù)這種商務(wù)模式在我國發(fā)展歷程短，電子商務(wù)
技術(shù)尚處于開(kāi)發(fā)與運營(yíng)的初期階段，硬件設施還依然是電子商務(wù)網(wǎng)站建設的“短板”。各種硬件條件短缺、配套資金匱乏等因素使得電子商務(wù)網(wǎng)站建設過(guò)程中使用的硬件設施不夠先進(jìn)，硬件安全性存在較多漏洞。導致電子商務(wù)網(wǎng)站很容易遭受不法分子的惡意侵害，網(wǎng)站中的數據資料遭受竊取或篡改。
 
2.數據庫登錄方式的安全隱患
 
為便于后期對電子商務(wù)網(wǎng)站數據庫的訪(fǎng)問(wèn)，電子商務(wù)網(wǎng)站建設時(shí)一般設置兩種登錄數據庫的方式:
(1) W indow身份驗證模式；
(2)數據庫直接訪(fǎng)問(wèn)，即通過(guò)電子商務(wù)網(wǎng)站數據庫對網(wǎng)站內容進(jìn)行瀏覽。但第二種方式在使用時(shí)存在安全風(fēng)險。多數用戶(hù)在登錄時(shí)習慣選擇系統默認用戶(hù)名，而后為了方便進(jìn)入網(wǎng)站數據庫又選擇“記住密碼”。這就增大了網(wǎng)站后臺管理系統的安全隱患，把網(wǎng)站前臺用戶(hù)名和密碼的安全管理也要負責在內。另外，很多用戶(hù)完全直接選擇數據庫默認的用戶(hù)名和密碼會(huì )導致數據庫外泄。眾所周知，“x”是 SQL Server數據庫的系統默認賬號，還是一個(gè)超級用戶(hù)賬號，就常常被受到攻擊。
 
3.數據庫結構的安全隱患
 
電子商務(wù)網(wǎng)站建設前期，開(kāi)發(fā)者與設計人員制定的數據庫設計方案不夠完善，一般體現在以下三個(gè)方面:
(1)默認了固定、有規律的數據庫文件的存放位置。比如 Access數據庫文件一般放在Web目錄中，這個(gè)規律就會(huì )被不法分子利用來(lái)查找并下載數據庫文件，導致網(wǎng)站的數據被竊取。
(2)數據表和數據字段的非自定義命名。有的數據庫表和數據字段名直接使用關(guān)鍵詞Admi、U9r等命名，不利于數據的安全。
(3)數據表無(wú)法防止被重命名。由于開(kāi)發(fā)人員沒(méi)有制定對策對數據表重命名進(jìn)行前后綴處理，可能會(huì )導致出現安全問(wèn)題。
 
4.網(wǎng)站后臺管理系統的安全隱患
 
后臺管理系統對于前臺網(wǎng)頁(yè)的穩定運行起著(zhù)至關(guān)重要的作用，在網(wǎng)站運營(yíng)過(guò)程中，后臺數據庫系統出現安全事故會(huì )導致整個(gè)電子商務(wù)網(wǎng)站平臺瘓，為此一定要確保數據庫后臺管理系統工作時(shí)處在安全穩定的環(huán)境。但由于目前國內電子商務(wù)平臺尚處于發(fā)展初期，數據庫后臺管理系統在設計時(shí)還很難克服以下問(wèn)題:
(1)數據庫開(kāi)發(fā)設計人員水平受限，將數據庫后臺管理系統的某些功能設置放在網(wǎng)站首頁(yè)，直接暴露了數據庫后臺管理系統的地址。這是因為技術(shù)人員通常會(huì )采用web來(lái)對數據庫進(jìn)行訪(fǎng)問(wèn)、管理及維護，從而保證網(wǎng)址首頁(yè)能夠正常穩定地運行。
(2)整個(gè)數據庫后臺系統有且只有首頁(yè)需要對管理員的權限進(jìn)行驗證，后續所有的管理界面均不再需要驗證指令。因此攻擊者只需直接輸入URL地址，就可以繞過(guò)驗證進(jìn)入到后臺管理之中直接對數據庫進(jìn)行訪(fǎng)問(wèn)管理，嚴重危及數據庫的安全5.服務(wù)器地址設計的安全隱患。
 
在電子商務(wù)網(wǎng)站建設初期要設計服務(wù)器地址，但部分設計人員對服務(wù)器設計工作不夠重視。