【正文】 re employed, the security of your database will be greatly improved. The next article on database security will focus on specific SQL and Oracle security problems, with detailed examples and advice for DBAs and developers. There are a lot of similarities between database security and general IT security, with generic simple security steps and measures that can be (and should be) easily implemented to dramatically improve security. While these may seem like mon sense, it is surprising how many times we have seen that mon security measures are not implemented and so cause a security exposure. 共 9 頁 第 8 頁 ◆ User account and password security One of the basic first principals in IT security is “make sure you have a good password”. Within this statement I have assumed that a password is set in the first place, though this is often not the case. I touched on mon sense security in my last article, but I think it is important to highlight this again. As with operating systems, the focus of attention within database account security is aimed at administration accounts. Within SQL this will be the SA account and within Oracle it may be the SYSDBA or ORACLE account. It is very mon for SQL SA accounts to have a password of ?SA? or even worse a blank password, which is just as mon. This password laziness breaks the most basic security principals, and should be stamped down on. Users would not be allowed to have a blank password on their own domain account, so why should valuable system resources such as databases be allowed to be left unprotected. For instance, a blank ?SA? password will enable any user with client software (. Microsoft query analyser or enterprise manager to ?manage? the SQL server and databases). With databases being used as the back end to Web applications, the lack of password control can result in a total promise of sensitive information. With system level access to the database it is possible not only to execute queries into the database, create/modify/delete tables etc, but also to execute what are known as Stored Procedures. 。 這類 密碼 連最基本的安全規(guī)則都懶于限制 。 數(shù)據(jù)庫安全 與 一般 IT 安全問題有許多相似之處 ， 都有 一 些 簡單 的 安全措施和步驟，容易實施，從而大大提高安全性。 能夠 使 用 的 另一種簡單的方法， 是清除 數(shù)據(jù)庫中不再需要的 所有程序。特定的數(shù)據(jù)庫命令或要求，不應該允許通過應用層。 在座很多朋友 已經(jīng)看到了當訪問網(wǎng)站時通常的錯誤消息框 ，而且往往顯示用戶輸入沒有得到正確處理。這就需要更復雜的 后端數(shù)據(jù) 編碼。這是一種有效 而且不太復雜 的方法阻止備份數(shù)據(jù)的簡單捕獲。所有安全 控制 均 到那些 原先并未恢復數(shù)據(jù)庫 的位置上，而且 我們能夠 在適當?shù)奈恢脽o 任何限制 地 瀏覽完整的 數(shù)據(jù) 庫，以保護敏感的數(shù)據(jù)。 ◆ 由于 SQL 和 Oracle 開發(fā)的漏洞給攻擊工具一個得以使用的空間。雖然這可能節(jié)省的購買一個單獨的服務器費用，但這 嚴重影響 了安全問題。在下篇文章，我們將 把焦點放在 特定的Microsoft SQL 和 Oracle 的安全關 注上 。在這篇文章中我們將討論一般數(shù)據(jù)庫安全概念和 和比較普遍的 問題。 經(jīng)常遇到的一個 普遍 問題， 就是 作為網(wǎng)絡服務器托管 Inter(or Intra)的 同一服務器 上數(shù)據(jù)庫的 應用。你不能 依靠任何他人或任何別的事以保護你的數(shù)據(jù)庫安全。這個媒體 裝 有 SQL共 9 頁 第 2 頁 數(shù)據(jù)庫 的 備份，這是我們 重新存儲到 筆記本電腦 上的 。如果備份 使用了 密碼保護， 當創(chuàng)建 密碼時 就 必須使用 密碼 。為了滿足 應用軟件的功能性要求 ，后端數(shù)據(jù)存儲通常被用來 安排網(wǎng)頁內(nèi)容的格式 。任何用戶輸入 應用軟件所不允許的內(nèi)容是攻擊的 一個常見來源。 同樣的問題， SQL 的安全 也不 完全是一個數(shù)據(jù)庫的問題。如果所有開發(fā)商都使用相同的基線標準， 特定具體的安全 措施，這將 大大 減少 SQL 注入妥協(xié) 的 風險。在這篇文章我們將集中于特定的 Microsoft SQL 和 Oracle 的安全 問題 ，同樣重要的是緩解這些問題的 解決方案。 SQL SA 服務賬戶 將“ SA”作為密碼， 這是很常見的 ， 或 者 更糟糕的 是 一個空白密碼， 這 同樣 很 普