【正文】 隨著 系統(tǒng)級 訪問 數(shù)據(jù)庫， 使得 不僅要執(zhí)行查詢到數(shù)據(jù)庫，創(chuàng)建 /修改 /刪除表等，而且也 要 執(zhí)行被稱為存儲程序 的內(nèi)容 。在去年的文章 中，我 略微談到了 關于 一般安全 意識 的問題 ，但我認為 再次強調(diào)這個問題是有必要的，而且至關重要。在下一篇關于數(shù)據(jù)庫的安全 的文章中 ，將側(cè)重于 具體的 SQL和 Oracle 安全問題，有為 DBAs 和開發(fā)商 提供的 詳細例子和意見。如果這是 不能 實現(xiàn) 的， 應該做出爭取使用替代字符的考慮 （例如，使用單引號， 這在 SQL 命令中時通常被使用的 ）。 還有 這個問題類似于操作系統(tǒng)的安全 規(guī) 則， 在那里，項目 應該 以 最低的權限運行， 而且 這是 必要的 。 ◆ 什么是 SQL 注入？ SQL 注入的是 軟件開發(fā)人員所不希望出現(xiàn)的 與資料庫使用代碼或指令發(fā)送 手段的交流 方法。 貫穿 安全業(yè)的一個普遍問題 是應用 軟件 安全，特別 是 定制的 Web 應用程序。 以上 問題 有一個簡單的辦法來解決。 這個 應用 軟件 本身 好像對 輸入要求 進行處理 ，拒絕直接進入 資料庫 的所有嘗試 。 畢業(yè)設計（文獻翻譯） 第 2 頁 上面提到的問題并不是嚴格地數(shù)據(jù)庫問題 ，還可以被歸類為 構建機制 和防火墻保護問題，但最終它 確 是數(shù)據(jù)庫， 這 是毫不妥協(xié)的。如果一個 vanilla操作 系統(tǒng)無法 為數(shù)據(jù)庫 提供一個穩(wěn)妥可靠的 安全基礎 ，花費太多努力去確保數(shù)據(jù)庫安全是不值 得的。事實上，在 防護 一個組織的信息 方面， 數(shù)據(jù)庫的安全是至高無上的，因為它可能會間接接觸比我們意識到的 更廣泛的 用戶 。隨著越來越多的人關注計算機安全，我們發(fā)現(xiàn)，防火墻和網(wǎng)絡服務器比 以前 都更加 安全化了 （雖然這并不等于說現(xiàn) 在不再有許多 不安全的網(wǎng)絡存在）。最近的一個例子，我記得是一個 Apache 網(wǎng)絡服務器系統(tǒng)服務組織在互聯(lián)網(wǎng)上提供 的 ，與Oracle 數(shù)據(jù)庫在互聯(lián)網(wǎng)上提供有關 端 口 1521。我們 正在進行 對使用一個數(shù)據(jù)庫后 端（ SQL）以存放客戶端的細節(jié) 的 企業(yè)內(nèi)部應用軟件 的測試。往往 并 不是采取直接的方法攻擊一個目標，并 且 最終 結果 是相同的 。數(shù)據(jù)庫安全 方面的焦點正 吸引 著攻擊者的注意力 。 SQL 注入就是 當前 IT 安全業(yè)的一個熱門話題。具體的與安全有關的編碼技術在使用組織 時 應加入編碼標準。 這是 一個 場外話題，但應該被 應 用 的 一些基本步驟的詳細 設計是有必要的 。這類似于消除 操作 系統(tǒng) 內(nèi) 不需要的服務 程序 ，是一種常見的安全實踐。雖然這些看起來像普通常識， 但是令人驚訝的是， 我們都看到有多少次，常見的 安全 措施 沒有 落實 以至于 造成的安全風 險。用戶 在 自己的域 賬 戶 上將不允許有一個空白密碼， 所以 為什么寶貴的系統(tǒng)資源， 例 如數(shù)據(jù)庫容許被毫無保障。 system promise. A backup copy of the database may be stored on the server, and thus facilitates access to the data indirectly. There is a simple solution to the problem identified above. SQL 2020 can be configured to use password protection for backups. If the backup is created with password protection, this password must be used when restoring the password. This is an effective and unplicated method of stopping simple capture of backup data. It does however mean that the password must be remembered! ◆ Current trends There are a number of current trends in IT security, with a number of these being linked to 畢業(yè)設計（文獻翻譯） 第 7 頁 database security. The focus on database security is now attracting the attention of the attackers. Attack tools are now available for exploiting weaknesses in SQL and Oracle. The emergence of these tools has raised the stakes and we have seen focused attacks against specific data base ports on servers exposed to the Inter. One mon theme running through the security industry is the focus on application security, and in particular bespoke Web applications. With he functionality of Web applications being more and more plex, it brings the potential for more security weaknesses in bespoke application code. In order to fulfill the functionality of applications, the backend data stores are monly being used to format the content of Web pages. This requires more plex coding at the application end. With developers using different styles in code development, some of which are not as security conscious as other, this can be the source of exploitable errors. SQL injection is one such hot topic within the IT security industry at the moment. Discussions are now monplace among technical security forums, with more and more ways and means of exploiting databases ing to light all the time. SQL injection i