電子商務網站開發中的數據庫安全問題分析

【摘 要】隨著經濟的起飛和電子產品的普及，出現新興的電子商務，人們的消費方式和交易途徑也發生了翻天覆地的變化，電子商務帶來的簡潔、方便已經成為人們生活不可或缺的交易方式了。但隨著電子商務的發展，安全性問題也逐漸浮現出來，比如電子商務網站的客觀資料、銷售方案、公司內部員工的資料等公司重要資料被攻擊者盜取并發布在網上或者對數據庫里的東西進行篡改。電子商務網站的安全是電子商務發展的基礎跟前提，而作為電子商務網站核心的數據庫安全更不容忽視。為了保證交易雙方的利益，我們必須保證數據庫的安全性。本文進一步對電子商務網站開發中存在的問題進行剖析，并且針對目前電子商務開發中的數據庫存在的安全問題，提出保護電子商務網站開發中數據庫安全的措施。

【關鍵詞】電子商務 數據庫 安全問題

信息全球化的今天，信息流動極其迅速，網絡作為信息流動的主要渠道，里面的環境可謂是魚龍混雜。在網絡環境下運行的電子商務數據庫就像一個普通的文件，里面儲存了公司的大量資料，其中包括成千上萬的交易數據和記錄、合作伙伴資料，客戶聯系資料等等一些重要的數據。這些信息都將關系到一個企業的生存和發展，但目前這個網絡大環境下，電子商務的數據庫被盜取，數據泄露，數據被破壞等惡性事件常有發生，防不勝防，這些都反映了電子商務網站的數據庫安全性遭到了很大的威脅，提高數據庫的安全性迫在眉睫。要在魚龍混雜的網絡大環境中生存和發展，如何保證數據庫的安全性顯得尤為重要。

一、電子商務網站開發中的數據庫安全問題

（一）操作系統和數據庫管理系統存在問題

很多電子商務網站為了貪圖方便都首先選擇比較簡單的WINDOWS系列的操作系統，其次再對LINUX系統的進行考慮，極少人會選擇使用UNIX系統。因為目前絕大多計算機用戶都使用DINDOWS系列的系統，所以對DINDOWS系統漏洞的發現相對比較容易，增加了黑客攻擊系統的機會。其實在維護電子商務網站數據庫安全問題上，數據庫管理的防范和操作系統同樣重要，但是很多運營商卻往往存在認識誤區，覺得只要做好操作系統的安全工作就行了。所以很多電子商務網站在開發之初對數據庫管理系統的選擇就缺乏對安全性進行考慮，當用戶用web的渠道操作觸發器等對象時，必須要進行身份驗證，大多數數據庫管理系統都有支持對數據庫進行訪問的賬號與密碼，比如在SQL Sever數據庫管理系統中存在一個用戶名為Sa的賬號的超級用戶，因為SQL Sever數據庫管理系統不能對該用戶進行刪除或者更改名稱，因此只能選擇對該用戶最強烈的保護，但是很多設計人員往往忽略上述存在的隱患而繼續使用Sa用戶，同時有些設計者往往貪圖方便，設置簡單容易被人猜測出來的密碼例如，654321、555555，更有甚者直接把戶空置起來。

（二）數據庫的設計過程存在問題

網站開發過程中很多開發者往往只注重對功能的設計，并沒有完善前期準備工作而直接進行編碼而忽略了很多細節性問題，盲目增加數據庫表并缺乏實際性保護措施，對代碼的設計也過于隨便，很多設計員都有個很不好的習慣，那就是為了方便在很多文件的命名上直接用拼音或者用文件的關鍵詞的用英語形式來命名，往往喜歡在Data目錄下放數據庫，方便自己之余也“方便”攻擊者，讓他們更容易找到對應的文件。同時很多重要的數據以明文的形式存進數據庫里，使得竊取者有機可乘，一旦攻擊者擁有了管理員權限，那他就將進一步攻擊網站的數據庫，嚴重的話將會導致整個系統崩潰。

（三）管理系統首頁和數據庫的鏈接存在策略上問題

在對電子商務網站的數據庫保護上，管理系統舉足輕重。但是還是有很多設計者不太注意管理系統的安全問題，在后臺管理系統鏈接方面，很多電子商務企業為了方便管理維護，直接在用戶平常瀏覽的網頁上設置后臺管理首頁鏈接，在權限設計方面，對管理員身份驗證的權限設計薄弱，只有對首頁的權限設計做強性要求，黑客可以利用此漏洞，可以避開管理員身份驗證權限，攻擊網站的后臺，竊取數據庫數據，另外一些管理員身份驗證過于簡單，這些都是電子商務開發中存在的安全隱患。數據庫的鏈接同樣存在很大問題，很多數據庫鏈接文件都暴露了數據庫文件的存取路徑、數據庫用戶的口令還有名稱，這些數據庫鏈接都是容易泄露出去的，當攻擊者找到這些數據庫鏈接，就可以對數據庫進行破壞或者下載。同時在源代碼編寫時直接使用Sa這種數據庫管理系統自帶的賬號，攻擊者就可以直接利用這種漏洞來控制系統的管理。

（四）SQL語句致使的安全問題

使用SQL語句的所有網站都存在因SQL致使的注入漏洞，該漏洞是2004后最具影響的漏洞，它一般是在程序員在編寫的時候，沒有對用戶輸入的信息進行判斷是否正確的情況下產生安全隱患。攻擊者在竊取數據庫信息或者提升權限時，可以分析他們加了特殊字符的正常數據庫代碼在程序運行出來的結果，來獲取電子商務網站的數據庫的字段名還有表名。通常網站提供的操作數據庫和輸入注冊信息的網頁都存在很多的注入點。

（五）缺乏后臺管理權限

人非圣人，往往在工作中都會有遺忘。肩負后臺管理工作的管理員的工作量都很大，很多電子商務企業對網頁的權限并沒有具體的措施，很多時候由于管理員的遺忘在沒人的情況下把后臺管理頁面暴露在屏幕上，致使攻擊者可以使用合法權限去瀏覽操作數據庫。

二、為確保電子商務網站開發中數據庫的安全做出的對策

（一）優化數據庫管理系統和對軟件進行改進

數據庫的運行和使用都離不開網絡和計算機系統，威脅數據庫安全的最主要因素是病毒的破壞，首先對病毒要進行多層防范，預防為主，防止和封殺一切病毒可能利用的網絡平臺，避免病毒的隱藏跟擴散，及時更新病毒庫，把預防和主動查殺相結合，同時可以使用虛擬專用網來提高信息傳輸和接入的安全性。數據的傳輸工程也是很容易被人竊聽的，應該對傳輸的數據進行加密處理。在數據庫軟件的選擇上要從安全性方面考慮，把安全問題放在首位，不要貪圖方便，盡量使用一些既能滿足性能要求又能提高數據庫安全性的數據庫軟件，例如MS SQL SERWER等大型的關系型的數據庫軟件。還有不要貪圖方便快捷使用數據庫管理系統默認的設置，盡量建立新的賬號還有設置比較難猜測的密碼。在對部署數據庫軟件問題上，要做好選擇，在WEB開發問題上，數據庫服務器要盡量開發最少的端口，不必要的端口要及時屏蔽掉，對于服務端口，要增加數據庫服務器的抵御能力就要加大攻擊者對服務端口的掃描難度。條件許可的情況下設置更高難度的口令或者經常換口令。

（二）端正設計姿態，樹立科學發展觀

細節決定成敗，在電子商務網站開發中，管理員要端正設計者的工作姿態，要用發展的眼光去對待，及時做好防護措施，不能只注重結果，從源頭上減少隱患。具體問題具體分析，對待不同的項目要有不同的思考空間，在設計的過程中要做好具體的分析，不能馬虎或者跳躍式的工作，不能貪圖一時的方便把一些數據弄成明文來存儲。從科學發展觀理論上出發，不能存在僥幸的心理，及時做好數據的備份還有數據丟失后的恢復機制，萬一數據庫被盜取還能盡可能地挽回損失。還有就是在代碼設計時電子商務網站要有自己的一套規范的命名法則，反其道而行之，改變一貫的大眾命名習慣，增加攻擊者的猜測難度，管理好公司職工的職業操守，硬性規定公司職工不能把公司的命名法則泄露出去。

（三）提高后臺管理系統的安全性

后臺管理系統的安全是電子商務網站開發中數據庫安全的關鍵所在，所以必須提高后臺管理系統的安全性。首先不要隨意在用戶經常瀏覽的網頁上設置管理系統首頁鏈接。其次在用戶名和口令的設置上也不能太隨意，要設置一些猜測難度比較大的，防止口令和賬號泄露。然后，不能用戶在沒有權限的情況下隨便訪問頁面，我們可以利用Session變量識別用戶的權限，達到對應的權限只能訪問對應的網頁的效果。最后，為了防止因管理員個人問題造成的人不在卻把后臺管理頁面暴露在屏幕中，可以進行時間限制，設定一個時間范圍，如果管理員在設定的時間范圍內還不對后臺管理頁面進行操作那么后臺管理頁面就會自己關閉，好像電腦的屏幕保護一樣。為了防止數據庫被下載，（1）可以采取數據庫文件名誤導法，利用系統的錯誤警報系統，在設計數據庫文件名的時候可以在它的后面加上#號，當產生錯誤識別的時候系統就會發出警報。（2）對數據庫鏈接文件的數據源的選擇上也要加以重視，加大竊取者的竊取難度，比如可以使用ODBC這樣使竊取者無法在數據庫的源代碼上獲取數據庫的進一步資料。

（四）及時防止因SQL語句帶來的漏洞

防范于未然，要及時采取有效的措施防止因SQL語句帶來的漏洞問題。在管理權限方面要加以完善，在使用管理權限對數據庫進行訪問時要切記不能在程序中使用比較高的權限。在開發程序上要養成良好的習慣，比如在進行數據庫查詢程序的編寫上，可以把單引號屏蔽掉。同時要做好核心代碼的保密工作，使用數據庫時不要直接運用SQL語句。

（五）對數據的存儲和傳輸進行加密處理

數據的運行和傳輸都依賴網絡這個大環境，電子商務網站的數據主要是做存儲和傳輸這兩方面的操作，所以攻擊者往往會選擇存儲和傳輸中的數據，為了提高電子商務網站的重要數據不被盜取、篡改，提高數據的安全性，應該對數據的存儲和傳輸進行加密處理，對數據進行加密可以使用密鑰參數還有算法，用戶要想對加密后的數據庫進行訪問必須有算法和密鑰。

三、小結

只有發現問題才能解決問題，基于上述，我們大致可以了解到目前電子商務開發中數據庫存在的安全問題，大致可以分為兩方面。第一是系統方面的原因，操作系統和操作系統選擇過于簡單，大眾。第二是數據的保護方面的原因，管理系統的首頁鏈接和數據庫鏈接沒有做好隱藏保護工作，因管理員個人問題導致泄漏，后臺管理權限保護過于薄弱，對QSL語句的使用過于麻痹大意。隨著人們思想的解放，方便簡單的電子商務行業已經逐漸被大部分人使用，電子商務網站也逐漸增多，其中存在的利用鏈條也很多，很多不法分子也是虎視眈眈，數據庫的安保工作已不再是個小問題，為了確保廣大消費者和商家的利益，電子商務網站要把數據庫的安全作為一個系統工程來對待，必須提高數據庫的安全性，防微杜漸。

【參考文獻】

[1]文蓉. 電子商務網站開發中數據庫安全問題分析. 計算機安全期刊，2007（12）.

[2]趙乃真. 電子商務網站建設實例. 清華大學出版社，2005：61.

[3]雷光洪. 淺析電子商務系統中的數據庫安全問題. 中文科技期刊，2010（10）.

[4]張浩. 關于電子商務網站的數據庫安全技術問題分析. 吉林省經濟管理干部學院學報，2012（01）.

[5]車延雪. 電子網站開發中數據庫安全問題分析. 農業網絡信息期刊，2012（08）.

[6]袁亮. 關于電子商務數據安全研究. 科技信息（科技研究），2007（17）.