成維莉 潘愛華 王思璇

摘 要：現(xiàn)代社會(huì)，商務(wù)網(wǎng)站的開發(fā)已經(jīng)是常事，由于市場(chǎng)競(jìng)爭(zhēng)大，因此網(wǎng)站在開發(fā)過程中，可能出現(xiàn)各類攻擊手段，系統(tǒng)本身也可能由于開發(fā)過程中的處理出現(xiàn)問題而存在風(fēng)險(xiǎn)，導(dǎo)致其數(shù)據(jù)庫受到一定威脅，筆者針對(duì)網(wǎng)站開發(fā)過程中可能出現(xiàn)的問題和解決措施進(jìn)行分析，希望在開發(fā)過程中，數(shù)據(jù)安全能夠得到重視，尤其是技術(shù)人員，需要為數(shù)據(jù)庫的安全承擔(dān)責(zé)任。

關(guān)鍵詞：網(wǎng)站開發(fā) 數(shù)據(jù)庫安全 防范措施

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2017）12（c）-0130-02

從開發(fā)風(fēng)險(xiǎn)來看，主要存在的風(fēng)險(xiǎn)有：數(shù)據(jù)登錄風(fēng)險(xiǎn)、結(jié)構(gòu)安全問題以及服務(wù)器地址設(shè)計(jì)問題，針對(duì)這些問題，筆者對(duì)網(wǎng)站設(shè)計(jì)過程以及設(shè)計(jì)人員應(yīng)該擔(dān)負(fù)的職責(zé)進(jìn)行了一定程度的明晰，希望能夠?qū)W(wǎng)站開發(fā)實(shí)踐有一定的指導(dǎo)作用，使得網(wǎng)站開發(fā)更為穩(wěn)妥和安全。

1 網(wǎng)站數(shù)據(jù)庫安全問題分析

1.1 數(shù)據(jù)登錄隱患

數(shù)據(jù)庫對(duì)于電子商務(wù)網(wǎng)站而言，含有大量數(shù)據(jù)和信息，是網(wǎng)站的核心，在網(wǎng)站開發(fā)過程中，常常對(duì)數(shù)據(jù)庫的數(shù)據(jù)信息形成一定程度的威脅，使其陷入泄露的危機(jī)。數(shù)據(jù)登錄問題，其產(chǎn)生是由于在網(wǎng)站開發(fā)時(shí)，技術(shù)人員需要登錄，在技術(shù)人員第一次經(jīng)過系統(tǒng)驗(yàn)證登錄后，再次訪問之時(shí)，便會(huì)出現(xiàn)系統(tǒng)默認(rèn)賬號(hào)，也就是說，技術(shù)人員登錄網(wǎng)站后，由于系統(tǒng)對(duì)其賬號(hào)沒有進(jìn)行處理，實(shí)際是可以在之后的時(shí)間里自由登錄系統(tǒng)的，這種漏洞就會(huì)導(dǎo)致在公司內(nèi)部賬號(hào)之外，由于網(wǎng)站開發(fā)過程中的登錄行為，出現(xiàn)了一個(gè)“超級(jí)用戶”，能夠自由進(jìn)入數(shù)據(jù)庫，瀏覽其中的信息和數(shù)據(jù)，在開發(fā)網(wǎng)站發(fā)布之后，網(wǎng)站登錄便存在著極大的隱患。電子商務(wù)網(wǎng)站開發(fā)時(shí)，技術(shù)人員登錄系統(tǒng)對(duì)其進(jìn)行開發(fā)和修改，由于這種登錄是為了便于技術(shù)人員的操作，因此對(duì)于這些賬號(hào)的限制極少，亦即權(quán)限極大，這種情況之下，為了便利，許多公司對(duì)于該賬號(hào)都沒有進(jìn)行處理，系統(tǒng)也不會(huì)識(shí)別此賬號(hào)與內(nèi)部賬戶的區(qū)別，因此開發(fā)完成后，導(dǎo)致數(shù)據(jù)登錄出現(xiàn)隱患和風(fēng)險(xiǎn)。

1.2 數(shù)據(jù)庫結(jié)構(gòu)安全問題

數(shù)據(jù)庫結(jié)構(gòu)安全，也就是在數(shù)據(jù)庫的設(shè)計(jì)時(shí)，對(duì)于其結(jié)構(gòu)沒有充分進(jìn)行各種因素的考慮，數(shù)據(jù)庫的安全存在風(fēng)險(xiǎn)，這種設(shè)計(jì)不科學(xué)所導(dǎo)致的系統(tǒng)缺漏使得數(shù)據(jù)庫的數(shù)據(jù)極容易遭到盜竊。且由于數(shù)據(jù)表的重命名設(shè)計(jì)時(shí)，如果技術(shù)人員未利用組合對(duì)其進(jìn)行前后綴處理，則重命名無法得到遏制，即系統(tǒng)無法識(shí)別重命名，從而系統(tǒng)數(shù)據(jù)存在著諸多風(fēng)險(xiǎn)。且對(duì)于數(shù)據(jù)字段來說，由于密碼字段的認(rèn)證以及設(shè)置等在網(wǎng)站開發(fā)中沒有考慮到，而導(dǎo)致存在一定威脅。在網(wǎng)站開發(fā)過程中，后臺(tái)系統(tǒng)的管理安全也是一項(xiàng)嚴(yán)重的風(fēng)險(xiǎn)問題，由于實(shí)際開發(fā)過程中，一些技術(shù)人員對(duì)于后臺(tái)管理的設(shè)計(jì)本身存在問題，導(dǎo)致在登錄系統(tǒng)時(shí)，可能出現(xiàn)安全屏障，或者瀏覽權(quán)限錯(cuò)位等問題，使得系統(tǒng)安全性保障降低。且一些技術(shù)人員在開發(fā)時(shí)，進(jìn)入系統(tǒng)的賬號(hào)被人破解，從而導(dǎo)致系統(tǒng)數(shù)據(jù)泄露。且由于開發(fā)時(shí)登錄界面的不合理設(shè)置，導(dǎo)致身份驗(yàn)證環(huán)境出現(xiàn)問題，這種問題不僅給內(nèi)部人員的正常工作帶來困擾，更加容易導(dǎo)致系統(tǒng)資料因?yàn)橥獠壳秩攵霈F(xiàn)問題。

1.3 服務(wù)器地址設(shè)計(jì)

在網(wǎng)站開發(fā)過程中，服務(wù)器地址設(shè)計(jì)是較為重要的一項(xiàng)工作，在此項(xiàng)工作中，如果設(shè)計(jì)人員不重視或者設(shè)計(jì)過程中出現(xiàn)失誤等情況，則會(huì)導(dǎo)致服務(wù)器地址設(shè)計(jì)陷入麻煩。服務(wù)器地址設(shè)計(jì)關(guān)乎著網(wǎng)站安全，一般來說，數(shù)據(jù)庫與用戶的連接出現(xiàn)問題是數(shù)據(jù)庫受到數(shù)據(jù)泄露威脅的主要原因，但是，如果設(shè)計(jì)人員在源代碼的編寫時(shí)出現(xiàn)紕漏，則整個(gè)網(wǎng)站也會(huì)陷入風(fēng)險(xiǎn)。服務(wù)器地址設(shè)計(jì)關(guān)乎著服務(wù)器是否會(huì)受到攻擊以及攻擊力度和自身防御機(jī)制，如果服務(wù)器地址的設(shè)計(jì)出現(xiàn)問題，導(dǎo)致服務(wù)器的地址本身存在問題，則整個(gè)網(wǎng)站的運(yùn)行會(huì)受到極大限制，在被攻擊時(shí)，也更容易崩潰。注入泄露問題，在網(wǎng)站開發(fā)過程中，由于SQL的注入出現(xiàn)漏洞，導(dǎo)致整個(gè)網(wǎng)站本身處于一種不穩(wěn)定的狀態(tài)，其安全性以及運(yùn)行質(zhì)量均會(huì)大打折扣，在這樣的情況下，如果黑客對(duì)網(wǎng)站進(jìn)行攻擊，則本身便存在缺陷的網(wǎng)站自身防御能力低，在黑客攻擊之下很容易被攻破，此時(shí)網(wǎng)站的數(shù)據(jù)便會(huì)被盜取，這種情況下，網(wǎng)站的工作會(huì)受到極大的影響，開發(fā)質(zhì)量也會(huì)大幅降低。

2 網(wǎng)站開發(fā)數(shù)據(jù)庫安全問題的解決

2.1 特殊賬號(hào)管理

在網(wǎng)站開發(fā)過程中，技術(shù)人員必須重視數(shù)據(jù)庫的安全，并通過實(shí)際開發(fā)過程中的保護(hù)措施來實(shí)現(xiàn)這種安全保障，以免因?yàn)殚_發(fā)過程而導(dǎo)致數(shù)據(jù)庫存在風(fēng)險(xiǎn)。在開發(fā)過程中，由于技術(shù)人員擁有特殊登錄權(quán)限，因此必須對(duì)其建立特殊賬戶，做好登錄安全保護(hù)工作。例如：建立重點(diǎn)賬戶a，超級(jí)賬戶與其享有同樣的權(quán)限，但是賬戶a由于安全性能較低，因此在對(duì)其設(shè)計(jì)時(shí)，需要重點(diǎn)設(shè)置，通過賬戶a的設(shè)置來模擬超級(jí)用戶，并對(duì)其權(quán)限和登錄進(jìn)行限制和監(jiān)控，尤其是對(duì)其密碼，需要設(shè)置較為繁瑣的密碼，防止被人破解而出現(xiàn)資料和數(shù)據(jù)泄露。數(shù)據(jù)庫重命名工作也需要得到關(guān)注，即對(duì)于一些目錄、數(shù)據(jù)表進(jìn)行重命名時(shí)，需要對(duì)其前后綴進(jìn)行限制，防止以簡(jiǎn)單的賬戶或者密碼命名的事件，同時(shí)還要設(shè)置非法訪問阻止，即重命名需要一定的權(quán)限，如再次輸入密碼等措施，總之需要進(jìn)一步驗(yàn)證。數(shù)據(jù)庫的安全需要在開發(fā)過程中予以考慮，否則開發(fā)完成后便會(huì)出現(xiàn)許多預(yù)想不到的數(shù)據(jù)庫安全問題。進(jìn)行特殊的賬號(hào)管理是針對(duì)登錄風(fēng)險(xiǎn)所做出的應(yīng)對(duì)。

2.2 完善后臺(tái)數(shù)據(jù)庫管理

后臺(tái)數(shù)據(jù)庫管理，在網(wǎng)站開發(fā)過程中必須要進(jìn)行此項(xiàng)工作，只有這樣才能避免開發(fā)中的許多風(fēng)險(xiǎn)問題。首先，賬號(hào)和密碼的設(shè)計(jì)需要較為復(fù)雜，防止簡(jiǎn)單密碼設(shè)置遭到破解。其次，技術(shù)人員需要對(duì)用戶權(quán)限進(jìn)行設(shè)置，由于網(wǎng)站開發(fā)中如果未設(shè)置權(quán)限，會(huì)導(dǎo)致后期網(wǎng)站運(yùn)行時(shí)存在諸多驗(yàn)證問題以及權(quán)限錯(cuò)亂的情況，因此，技術(shù)人員需要對(duì)權(quán)限進(jìn)行設(shè)置，例如Session，對(duì)每個(gè)頁面進(jìn)行驗(yàn)證，對(duì)用戶權(quán)限進(jìn)行不同的變量標(biāo)志設(shè)置，全面進(jìn)行管理。開發(fā)人員不適用特殊賬號(hào)，其賬號(hào)設(shè)計(jì)與網(wǎng)站內(nèi)部人員的密碼設(shè)置一樣利用字符連串性強(qiáng)調(diào)保密。數(shù)據(jù)庫的結(jié)構(gòu)安全需要得到技術(shù)人員的重視，重命名問題上文已經(jīng)提到了解決辦法，此處不加贅述，對(duì)于網(wǎng)站結(jié)構(gòu)來說，需要盡量避免與網(wǎng)站常規(guī)操作不一致的操作在開發(fā)中出現(xiàn)，以免成為后期漏洞，在開發(fā)設(shè)計(jì)時(shí)，便對(duì)技術(shù)人員納入網(wǎng)站結(jié)構(gòu)之中，防止特殊結(jié)構(gòu)的出現(xiàn)。技術(shù)人員在進(jìn)行設(shè)計(jì)時(shí)，必須考慮到網(wǎng)站結(jié)構(gòu)問題，盡量不要貪圖一時(shí)的快捷，需要將網(wǎng)站數(shù)據(jù)和整體結(jié)構(gòu)的安全放在第一位。

2.3 存儲(chǔ)驗(yàn)證輸入

注入漏洞需要技術(shù)人員采取一定措施加以防范和處理，首先需要進(jìn)行權(quán)限劃分，普通用戶與管理員需要進(jìn)行不同的權(quán)限認(rèn)定，在普通用戶的訪問出現(xiàn)異常時(shí)，可以對(duì)用戶進(jìn)行追蹤或者直接刪除處理，反正惡意訪問和攻擊。其次需要用戶驗(yàn)證工作的進(jìn)一步設(shè)定，由于驗(yàn)證輸入工作需要進(jìn)行字符的合理測(cè)試變量，不能出現(xiàn)二進(jìn)制數(shù)據(jù)庫現(xiàn)象，這種驗(yàn)證系統(tǒng)的設(shè)計(jì)需要設(shè)計(jì)人員認(rèn)真操作，予以重視，在現(xiàn)代社會(huì)，驗(yàn)證系統(tǒng)趨向更加完整和智能，驗(yàn)證內(nèi)容具有延展性，因此，技術(shù)人員需要注意提升驗(yàn)證內(nèi)容的科學(xué)性。

3 結(jié)語

網(wǎng)站開發(fā)作為一種提升網(wǎng)站運(yùn)行效率和質(zhì)量的現(xiàn)代化手段，稍有不慎便可能給整個(gè)網(wǎng)站的安全帶來威脅，因此，網(wǎng)站開發(fā)中的風(fēng)險(xiǎn)研究及其應(yīng)對(duì)具有重要的研究意義，希望開發(fā)技術(shù)人員能夠重視這一點(diǎn)并在開發(fā)實(shí)踐中予以踐行。

參考文獻(xiàn)

[1] 王德山，王科超.電子商務(wù)網(wǎng)站開發(fā)中的數(shù)據(jù)庫安全問題與防范對(duì)策淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（1）：49.

[2] 江龍.電子商務(wù)網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題探討[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2016（17）：37-38.

[3] 馮書晶.電子商務(wù)網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（6）：10，12.