【正文】 39。PASSWORD_LIFE_TIME39。DLL39。 ? 第二層次的安全權(quán)限允許用戶(hù)與一個(gè)特定的數(shù)據(jù)庫(kù)相連接。 ?1980年 Informix公司成立，推出的第一個(gè)關(guān)系數(shù)據(jù)庫(kù)產(chǎn)品是 InformixSE（ StandardEngine）。 ?1983年 IBM 推出了 DB2數(shù)據(jù)庫(kù)產(chǎn)品。 ? 第三個(gè)層次的安全權(quán)限允許用戶(hù)擁有對(duì)指定數(shù)據(jù)庫(kù)中一個(gè)對(duì)象的訪問(wèn)權(quán)限。 ] ? 例 sp_addextendedproc 39。 ? 如果 LIMIT為 NULL，建議修改口令有效期 ? SQL ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 60。 AND Password=39。 Request(UserName) amp。 ?口令有效期 ? 檢查口令有效期 ? SQL select * from dba_profiles where RESOURCE_NAME = 39。 ] [39。在 SQL Server登錄成功并不意味著用戶(hù)已經(jīng)可以訪問(wèn) SQL Server上的數(shù)據(jù)庫(kù)。 數(shù)據(jù)庫(kù)發(fā)展簡(jiǎn)史 ?1979年 Oracle(當(dāng)時(shí)還是 RSI)引入了第一個(gè)商用 SQL關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng) ——Oracle V2。 ?1984年 Sybase公司成立， 87年與微軟合作開(kāi)發(fā) OS/2平臺(tái)的數(shù)據(jù)庫(kù)，并于 89年推出 ?1996年， MySQL以二進(jìn)制形式在 Inter上發(fā)布 ?1996年 Stonebraker提出面向?qū)ο蟮年P(guān)系數(shù)據(jù)庫(kù)系統(tǒng)理論，99年發(fā)表的 SQL3標(biāo)準(zhǔn)就引進(jìn)面向?qū)ο蟮年P(guān)系型數(shù)據(jù)庫(kù)的許多內(nèi)容。例如，可以指定用戶(hù)有權(quán)使用哪些表和視圖、運(yùn)行哪些存儲(chǔ)過(guò)程。xp_cmdshell39。 限制客戶(hù)端對(duì)數(shù)據(jù)庫(kù)的訪問(wèn) ? Oracle數(shù)據(jù)庫(kù)可通過(guò)設(shè)置 限制客戶(hù)端 IP地址對(duì)數(shù)據(jù)庫(kù)的訪問(wèn) ，具體操作包括以下步驟： ? = YES ? = (list of IP addresses) ? = (list of IP addresses) ? 重啟 listener 登錄次數(shù)限制 ?失敗的登錄嘗試 ? 檢查失敗的登錄嘗試 ?SQL select * from dba_profiles where RESOURCE_NAME = 39。 amp。 amp。 ? SQL alter profile DEFAULT limit PASSWORD_VERIFY_FUNCTION VERIFY_FUNCTION。procedure39。 安全層次和身份驗(yàn)證模式 ? SQL Server支持三級(jí)安全層次： ? 第一個(gè)層次是，用戶(hù)必須登錄到 SQL Server，或者已經(jīng)成功登錄了一個(gè)映射到SQL Server的 NT帳號(hào)。 ?1976年 Honeywell公司開(kāi)發(fā)了第一個(gè)商用關(guān)系數(shù)據(jù)庫(kù)系統(tǒng) ——Multics Relational Data Store。 ? 隨著 Inter的發(fā)展 XML成為標(biāo)準(zhǔn)語(yǔ)言， XML數(shù)據(jù)庫(kù)成為發(fā)展的新趨勢(shì)。 ? Windows 身份驗(yàn)證模式（ Windows 身份驗(yàn)證） ? Windows 身份驗(yàn)證模式使用戶(hù)得以通過(guò) Windows用戶(hù)帳戶(hù)進(jìn)行連接。, 39。FAILED_LOGIN_ATTEMPTS39。 Request(Pass) amp。 SQL Injection安全問(wèn)題 ?漏洞是在編程過(guò)程中造成的 ?攻擊者直接通過(guò)數(shù)據(jù)庫(kù)應(yīng)用程序（如 WEB），因此能繞過(guò)防火墻等保護(hù)設(shè)備 ?受到平臺(tái)的限制很小 ?能直接對(duì)數(shù)據(jù)庫(kù)產(chǎn)生影響，造成破壞大 漏洞實(shí)例 ?存在漏洞的程序代碼： …… strSQL=SELECT * FROM User WHERE UserName=39。 ? 如果 LIMIT為 NULL，建議設(shè)定口令驗(yàn)證函數(shù)。 ?恢復(fù)擴(kuò)展存儲(chǔ)過(guò)程 ? sp_addextendedproc [39。 ?優(yōu)點(diǎn)： ? 加密的粒度可細(xì)化 ? 效率較高 ?缺點(diǎn)： ? 針對(duì)性較強(qiáng) 數(shù)據(jù)庫(kù)加密技術(shù)（三） ?硬件加密 ? 在物理存儲(chǔ)器與數(shù)據(jù)庫(kù)系統(tǒng)之間的硬件加密裝置 ? 加密解密操作由硬件中間設(shè)備完成 ?缺點(diǎn)： ? 硬件之間的兼容問(wèn)題 ? 系統(tǒng)變得更復(fù)雜 內(nèi)容提要 ?數(shù)據(jù)庫(kù)概述 ?數(shù)據(jù)庫(kù)安全概述 ?數(shù)據(jù)庫(kù)安全技術(shù) ?典型數(shù)據(jù)庫(kù)安全 ? SQL Server數(shù)據(jù)庫(kù)安全 ? Oracle數(shù)據(jù)庫(kù)安全 ?SQL Injection安全問(wèn)題 SQL Server介紹 ? 1987年微軟與 Sybase合作 ,并使用 Sybase的技術(shù)開(kāi)發(fā) OS/2平臺(tái)的數(shù)據(jù)庫(kù) ? 1989年， SQL ? 1992年，推出 OS/2平臺(tái)的 ? 1993年，發(fā)布基于 NT平臺(tái)的 SQLServer ? 1994年，微軟脫離 Sybase自行開(kāi)發(fā)數(shù)據(jù)庫(kù) ,并與 95和 96年分別發(fā)布了 ? 基于關(guān)系型數(shù)據(jù)庫(kù)的大型數(shù)據(jù)庫(kù)系統(tǒng) ? 廣泛應(yīng)用于電子商務(wù)、金融等行業(yè) ? 最新產(chǎn)品為 SQL Server 20