【正文】 L_TCP權(quán)限 ? SQL revoke execute on utl_TCP from public。 Request(UserName) amp?！?防范 SQL Injection ?從根本上避免出現(xiàn) SQL Injection漏洞 ， 必須提高WEB程序員的安全意識和安全編程技能來解決程序本身的漏洞； ?代碼中必須對所有用戶輸入進行嚴格的過濾 ， 對單引號 、 雙引號以及 “ ”等符號 、 非指定的數(shù)據(jù)類型及數(shù)據(jù)長度進行過濾； ?合理設(shè)置數(shù)據(jù)庫應(yīng)用程序的權(quán)限； ?對數(shù)據(jù)庫系統(tǒng)進行必要的安全配置 。 AND Password=39。 資源安全審計 ?設(shè)置限制的 Oracle安裝目錄權(quán)限 ?設(shè)置數(shù)據(jù)庫文件權(quán)限 ? $ORACLE_HOME/dbs/*.dbf，設(shè)置這些文件的使用權(quán)限為 0600 ?讓 DBA才有權(quán)限處理數(shù)據(jù)庫目錄 ? 設(shè)置 initsid.ora（ 9i控制文件）參數(shù)： ? O7_DICTIONARY_ACCESSIBILITY = FALSE 網(wǎng)絡(luò)安全審計 ? 限制 IP地址 ? （ Oracle Net配置文件） ? = YES ? = {list of IP addresses} ? = {list of IP addresses} ? 阻止 Listener上的未授權(quán)管理 ? （ Oracle Listener配置文件） ? ADMIN_RESTRICTIONS_listener_name=ON ? 限制遠程鑒別 ? initsid.ora （ Oracle控制文件） ? REMOTE_OS_AUTHENT = FALSE ? 通過防火墻等保護通訊端口 （ TCP1521） 啟用審計 ? 在初始化配置文件中設(shè)置參數(shù)： ? AUDIT_TRAIL=DB ? 需要重起數(shù)據(jù)庫實例 ? 指定審計 ? 例：審計所有數(shù)據(jù)庫連接和斷開連接 ? AUDIT SESSION ? 例：審計以下不成功操作 ? AUDIT select table, delete table, execute procedure BY ACCESS WHENEVER NOT SUCCESSFUL ? 察看審計 ? select * from $ 保護審計 ?只為管理員授予 $ 的 DELETE、 INSERT、UPDATE權(quán)限 ?只為安全管理員授予 DELETE ANY TABLE權(quán)限 ?審計對數(shù)據(jù)庫審計跟蹤所做的修改 ? AUDIT INSERT, UPDATE, DELETE ON $ BY ACCESS。 ? 如果 LIMIT為 NULL，建議修改口令有效期 ? SQL ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 60。 ?若對多個 Oracle數(shù)據(jù)庫進行集中管理，對 sysdba的管理方式最好選擇 password文件認證方式。 ] ? 例 sp_addextendedproc 39。 ?刪除擴展存儲過程 ? sp_dropextendedproc [39。 ? 第三個層次的安全權(quán)限允許用戶擁有對指定數(shù)據(jù)庫中一個對象的訪問權(quán)限。 數(shù)據(jù)庫系統(tǒng)構(gòu)成 ?數(shù)據(jù)庫 ? 存取數(shù)據(jù) ?數(shù)據(jù)庫管理系統(tǒng)（ DBMS） ? 為用戶及程序提供數(shù)據(jù)訪問，并對數(shù)據(jù)庫進行管理、維護，通常主要包括 存儲管理器和查詢處理器兩大部分 。 ?1983年 IBM 推出了 DB2數(shù)據(jù)庫產(chǎn)品。 數(shù)據(jù)庫基礎(chǔ)知識培訓(xùn) 內(nèi)容提要 ? 數(shù)據(jù)庫概述 ? 數(shù)據(jù)庫安全概述 ? 數(shù)據(jù)庫安全技術(shù) ? 典型數(shù)據(jù)庫安全 ? SQL Server數(shù)據(jù)庫安全 ? Oracle數(shù)據(jù)庫安全 ?SQL Injection安全問題 數(shù)據(jù)庫發(fā)展簡史 ?1961年 GE開發(fā)出第一個數(shù)據(jù)庫系統(tǒng) IDS（ Integrated DataStore），是網(wǎng)狀數(shù)據(jù)庫系統(tǒng)。 ?1980年 Informix公司成立，推出的第一個關(guān)系數(shù)據(jù)庫產(chǎn)品是 InformixSE（ StandardEngine）。如： DB Oracle、 SQL Server等。 ? 第二層次的安全權(quán)限允許用戶與一個特定的數(shù)據(jù)庫相連接。xp_cmdshell39。DLL39。 ?參考： .htm 賬戶管理 ?列舉可見用戶 ? select username from all_users ?列舉所有用戶 ? select username from dba_users ?檢查用戶配置 ? select username,profile,account_status from dba_users ?為 Oracle數(shù)據(jù)庫安全考慮，在多人共同對數(shù)據(jù)庫進行維護時，應(yīng)分別重新定義角色。PASSWORD_LIFE_TIME39。 ?UTL_SMTP權(quán)限 ? SQL revoke execute on utl_SMTP from public。 39。