電子商務網站后臺數據庫開發過程中的安全問題與防范對策研究

丁佩佩

摘? 要：隨著國家科技的飛速發展，網購的興起，電商網站也得到了快速發展，成為新時期的主要商業形式之一。但是，在電子商務網站后臺數據庫的開發過程中，經常會出現各類嚴重的安全問題，導致電子商務網站的總體質量很難提升，發展效果不甚理想。文章從電子商務網站后臺數據庫開發設計的角度，著重分析了在此過程中可能存在的安全隱患，并結合實際給出了相應的防范對策。

關鍵詞：電子商務網站;數據庫安全問題;對策

中圖分類號：TP393? ? ? ? ?文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）33-0140-03

Abstract： With the rapid development of science and technology of the country， as well as the rise of e-commerce， e-commerce sites have also developed rapidly， becoming one of the main forms of business in the new era. However， in the process of the development of the e-commerce website backstage database， there arise all kinds of serious security problems， which leads to the overall poor quality of e-commerce sites and the unsatisfying effects of development. In this paper， from the perspective of e-commerce website backstage database development and design， this paper analyzes the hidden danger in the process， and gives the corresponding countermeasures.

Keywords： e-commerce website; database security issues; countermeasures

前言

隨著我國移動互聯網信息化時代的進一步到來和互聯網科技的進步以及飛速發展，越來越多的電子商務企業和消費者借助于電子商務平臺成功開展了線上的交易，消費者足不出戶就可以在電商的網站上享受到全球的服務和購買商品，電商平臺這種方便高效、低成本、個性化的經營特點引領著互聯網商業的潮流。但是電商平臺伴隨著快速的經濟發展諸多的問題都呈現了出來，不僅嚴重威脅到了交易雙方的消費者利益，還嚴重制約了電子商務社會和經濟的進一步健康發展。因此，企業在對電子商務企業網站的后臺數據庫的開發和設計過程中，一定要特別注重安全防范，設計的人員一定要認真研究制定數據庫安全防范管理制度，創新安全防范管理的方式，樹立正確的數據庫管理安全觀念，確保后臺數據庫的使用安全性，為參與交易的雙方和消費者營造安全的使用電子商務企業網站的環境。

1 電子商務網站安全內容

電子商務網站融合了計算機網絡技術、通信網絡技術和計算機網絡技術于一體，以Internet技術為其基礎的技術平臺，互動性、開放性、廣泛性為其技術的顯著特點。由于其技術的開放性與互動的廣泛性，必然導致企業面臨各種安全的問題，如個人信息遭到泄露或被惡意篡改、欺騙、抵賴等。所以，網絡安全的問題已逐漸成為企業發展一個可以受信賴的電子商務網站發展環境的一大瓶頸。網站安全管理主要包括了計算機電子商務網絡的基礎設備、網絡信息系統和數據庫安全，而安全信息系統管理的一個基本要點就是對當前計算機電子商務網絡本身和運營中可能存在的安全技術威脅和問題有效地進行了管理，采取了相應的安全管理措施和解決方案，提升了電子商務計算機網絡的安全級別。電子商務計算機網站信息系統開發和運營過程中的后臺數據庫安全管理主要包含在對計算機的網絡安全中，屬于對電子商務計算機網絡安全的信息系統管理和保護范疇，因此，要想進一步加強對電子商務企業網站產品開發過程中的數據庫安全的管理，需要針對當前計算機網絡安全的特點進行整體性和重點的把握，掌握相關的安全識別技術和風險管理技術，提升電子商務網站后臺數據庫的安全管理效率。

2 電子商務網站后臺數據庫的安全問題

2.1 登錄數據庫環節產生的安全問題

開發電子商務網站后臺數據庫前，首先要設置登錄數據庫的身份驗證模式。身份驗證登錄模式主要是用來驗證確認其是否是合法登錄用戶。SQL Server確認用戶的登錄以及賬戶和密碼的設置正確性，驗證其登錄用戶是否已經擁有通過網絡連接使用SQL Server的訪問權限。SQL Server數據庫提供了兩種用來確認已經登錄用戶的身份驗證登錄模式，即一種是windows身份驗證的模式，另一種是混合身份驗證的模式。用戶登錄以后，網站可能會出現數據庫系統設置默認用戶賬號的異常情況，能夠直接讓用戶的賬號在其后續的數據庫訪問中能夠進行再次的訪問。但實際很多網站數據庫在建設的過程中，為了方便用戶網站的后續使用，沒有了設置繁瑣的用戶名和密碼，網站信息發布以后很容易就發生了數據被刪除或者修改的異常現象，從而直接導致了網站數據庫在后續建設和使用的環節中可能會出現不同程度的安全性和經濟損失。另外，很多網站用戶直接選擇使用數據庫系統默認的身份驗證用戶名和登錄密碼，這樣會直接導致網站數據庫的外泄，例如：“sa”不僅是SQL Server數據庫的管理系統設置的默認賬號，還是一個超級數據庫用戶的賬號，常常導致網站遭受非法的黑客攻擊。

2.2 數據庫結構產生的安全問題

電子商務企業網站在數據庫開發的過程中，由于網站開發者與數據庫設計工作人員共同制定的網站數據庫系統結構設計方案不是很完善，容易出現導致網站數據庫的結構改變，產生安全問題。一般數據庫表現為以下三個主要的方面：（1）數據庫使用網站默認的固定數據庫存放位置存儲進入網站數據庫的文件。比如SQL Server數據庫的文件一般都是存放在data目錄中，這個數據儲存規律可能會被一些不法分子惡意利用來非法查找并惡意下載進入網站數據庫的文件，導致網站的信息系統數據被惡意竊取。（2）網站數據庫列表無法有效防止被惡意重命名。由于開發設計的人員沒有充分利用各類關鍵詞的組合對數據表名中的字段進行前后綴的處理，可能會直接導致數據出現各種安全問題。（3）對數據表名字段的非自定義關鍵詞命名。有些網站對數據表中的字段名直接使用關鍵詞定義命名，或者沒有全面組織開展密碼等數據字段名與密碼相關的工作，不利于提高網站數據的使用安全性。

2.3 網站后臺管理系統產生的安全問題

后臺設計和管理的系統對于電子商務網站數據庫前臺的穩定正常運行起著至關重要的安全保障作用，而在整個電子商務數據庫網站實際管理系統開發的正常運行過程中，經常可能會因為網站后臺管理系統的安全出現問題，無法真正有效的維護和保障電子商務網站數據庫整體的穩定和安全性。電子商務網站的后臺設計和管理的系統在開發設計時很難有效克服以下問題：比如，部分電子商務網站開發設計人員由于技術水平和知識受限，直接將電子商務數據庫網站后臺設計和管理系統的某些后臺管理功能及地址放在了網站的首頁，從而直接暴露了整個數據庫網站后臺管理系統的地址，造成嚴重的網絡安全隱患。再例如，整個電子商務數據庫網站后臺管理系統只有首頁的內容需要對網站后臺管理員的訪問權限和地址進行驗證，后續所有的網站界面均不再有管理員進行驗證。因此網站攻擊者通常只需直接在首頁輸入url地址，就已經可以直接繞過管理員的驗證進入到整個數據庫后臺的管理系統之中，對整個數據庫后臺系統進行訪問，嚴重危及電子商務網站后臺數據庫的安全。

2.4 SQL注入產生的安全問題

絕大多數的攻擊者在電子商務網站后臺所遭受的非法網絡攻擊都可能是由于對sql的注入，sql注入語句如果本身存在了漏洞，就可能會直接導致網站后臺的數據厙和網站信息被非法竊取。sql的注入通過直接控制網站應用程序中的關鍵變量注入語句來直接控制網站后臺的數據厙，非法的入侵者可以通過此類方法控制變量來攻擊和竊取網站信息。但絕大多數電子網站后臺遭受的非法網絡攻擊都被認為是防火墻可以完全避免的，不過由于防火墻和人們的無知和疏忽，造成許多電子商務網站都不明白是什么原因被黑。再加上網上仍然存在著很多用戶可以隨意點擊下載的非法入侵電子商務網站的軟件和工具，任何一個人都完全可以隨意利用這些入侵的工具，可以用來攻擊和竊取網站的數據。最嚴重的網絡攻擊問題之一就是防火墻和一些殺毒軟件都無法很好的辨別出什么是sql變量注入的攻擊，因為它與一般的web頁面的瀏覽非常相似，所以無法很好的起到網絡安全防范的功能，給電子商務網站的后臺以及數據庫的安全和穩定性造成了嚴重威脅。

3 電子商務網站后臺數據庫安全問題的防范對策

3.1 登錄數據庫系統特殊賬戶管理

電子商務企業網站系統后臺數據庫管理系統開發的過程中，必須注意的是要高度重視特殊用戶賬號的管理工作，例如：電子商務網站中“sa”這個數據庫系統內置的特殊賬號不可以被直接進行刪除，也可能無法被直接進行修改，此類特殊賬號的質量和安全性相對較低，直接管理人員使用此類特殊賬號無法登錄數據庫管理系統會很容易引發安全問題，難以有效提升電子商務企業網站數據庫整體的質量。因此，我們管理人員可以不直接使用數據庫管理系統的數據庫默認用戶賬號和數據庫權限，而是重新設計建立一個數據庫的超級用戶賬號來負責管理整個數據庫，并且直接賦予其與數據庫默認用戶賬號相同的數據庫權限。而當管理人員必須使用數據庫默認的賬號時，可直接使用8位以上的“字母+數字”組合的密碼，注意要正確設置進入數據庫的密碼或者直接使用黑客易猜解的數據庫密碼，這樣可大大增強對該數據庫賬號的安全保護，提升整個數據庫的質量和安全性，同時，數據庫管理系統設計的人員還要注意避免出現數據庫管理系統軟件密碼泄露的異常現象，避免讓不法的人員對數據庫有可乘之機。

3.2 設計符合規范的數據庫結構

設計一個符合規范的與數據庫相關的文件結構系統時可以從以下幾個關鍵方面的細節著手：（1）及時更改與

數據庫相關文件的存儲路徑和位置。比如：SQL Server系統中相關文件的位置是默認存儲在數據庫的data文件夾或數據庫中的，開發設計的人員首先可更改文件存放的路徑，而后及時修改與其他數據庫相關文件連接的系統相關文件位置信息。（2）使用了odbc的數據源。odbc的數據源優點之一是用它開發生成的數據庫應用程序與數據庫或其他數據庫的引擎完全無關，隔離了系統和數據庫的所有實現操作細節，這樣數據源就可以有效地讓非法的用戶在系統中無法及時找到與數據庫相關文件，從而大大提高了數據庫的安全性。數據庫的設計需要開發人員在現有的iis中手動配置新的odbc文件和數據源，并重新設置好現有的數據庫文件的數據源和存儲位置即可。（3）建立和完善數據庫重命名管理制度。可以為同一個數據庫的主文件名選取復雜的英文名字，并將它存儲在較深層的數據庫路徑下。如網上零食店的數據庫主文件名，不要給自己起一個諸如“food.mdf”或者“delicious.mdf”之類的英文名字，并將它直接存儲在較深層的數據庫路徑下。另外給數據庫表和字段進行命名時可以盡量采用簡單的字母加數字進行組合的命名方式，可以有效防止代碼在sql注入時被猜測到。

3.3 提高網站后臺管理系統的安全性

提高企業網站后臺信息管理數據庫系統的使用安全性主要可以從以下幾個重要方面著手：首先，設計人員一定需要注意設置較為復雜的網站后臺賬號，并且一定要盡量避免出現網站后臺賬號信息泄露的異常現象。其次，電子商務企業網站后臺開發技術系統設計人員在開發時還需要能夠繞過非法網站和用戶的頁面，設置一些能夠具有非法用戶正常訪問權限的字符和變量標識，例如：通過設置一個session的變量標識可以使某些非法用戶只有能夠得到相應正常訪問權限和用戶賬號才能正常訪問。最后，設計人員在設計時一定要考慮到能夠有效保障網站后臺賬號所有字符的安全保密性以及網站后臺賬號的安全連續性，增強了電子商務企業網站后臺數據庫系統開發過程中安全技術問題的綜合解決能力和效果。

3.4 防止SQL注入產生漏洞

電子商務企業網站的后臺管理數據庫系統開發的過程中，sql的注入過程中會產生哪些漏洞的問題無疑是非常關鍵的，要及時采取有效的措施來保護和防止sql的注入。具體防漏洞的操作方法介紹如下：（1）把數據庫的sql程序作為核心的代碼直接存儲在數據庫的存儲過程中或直接使用XML webservice，這種防漏洞的方法實際上不但可以有效保護程序中的核心代碼，避免了sql的注入，同時可以大大提高數據庫系統的性能。（2）在編寫一個數據庫的查詢語句時，對數據庫的sql注入程序中需要輸入的所有變量用一對單獨的引號方式來進行標注。（3）用戶訪問一個數據庫時不應該選擇使用最高訪問權限，而是選擇使用windows驗證的模式進行用戶身份驗證。

4 結束語

隨著網絡技術的迅速發展，電子商務網站后臺數據庫開發過程中將會面臨越來越多的安全問題，因此，開發設計人員應該從賬戶管理、數據庫結構完善、網站后臺管理系統安全以及漏洞問題預防這幾個方面著手，結合實際情況采用相應的對策，排除各種安全隱患，使得電子商務網站向更安全、更健康的方面迅速發展，進而帶動社會經濟的進步。

參考文獻：

[1]陳芳.電子商務背景下網站開發中數據庫安全問題的探討[J].電腦迷，2016（8）：37-38.

[2]王蕾.電子商務網站中的數據庫安全問題研究[J].通訊世界，2015（13）：30-31.