電子商務網(wǎng)站后臺數(shù)據(jù)庫開發(fā)研究

導語：電子商務網(wǎng)站后臺數(shù)據(jù)庫開發(fā)研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著國家科技的飛速發(fā)展，網(wǎng)購的興起，電商網(wǎng)站也得到了快速發(fā)展，成為新時期的主要商業(yè)形式之一。但是，在電子商務網(wǎng)站后臺數(shù)據(jù)庫的開發(fā)過程中，經(jīng)常會出現(xiàn)各類嚴重的安全問題，導致電子商務網(wǎng)站的總體質(zhì)量很難提升，發(fā)展效果不甚理想。文章從電子商務網(wǎng)站后臺數(shù)據(jù)庫開發(fā)設計的角度，著重分析了在此過程中可能存在的安全隱患，并結(jié)合實際給出了相應的防范對策。

關鍵詞：電子商務網(wǎng)站；數(shù)據(jù)庫安全問題；對策

隨著我國移動互聯(lián)網(wǎng)信息化時代的進一步到來和互聯(lián)網(wǎng)科技的進步以及飛速發(fā)展，越來越多的電子商務企業(yè)和消費者借助于電子商務平臺成功開展了線上的交易，消費者足不出戶就可以在電商的網(wǎng)站上享受到全球的服務和購買商品，電商平臺這種方便高效、低成本、個性化的經(jīng)營特點引領著互聯(lián)網(wǎng)商業(yè)的潮流。但是電商平臺伴隨著快速的經(jīng)濟發(fā)展諸多的問題都呈現(xiàn)了出來，不僅嚴重威脅到了交易雙方的消費者利益，還嚴重制約了電子商務社會和經(jīng)濟的進一步健康發(fā)展。因此，企業(yè)在對電子商務企業(yè)網(wǎng)站的后臺數(shù)據(jù)庫的開發(fā)和設計過程中，一定要特別注重安全防范，設計的人員一定要認真研究制定數(shù)據(jù)庫安全防范管理制度，創(chuàng)新安全防范管理的方式，樹立正確的數(shù)據(jù)庫管理安全觀念，確保后臺數(shù)據(jù)庫的使用安全性，為參與交易的雙方和消費者營造安全的使用電子商務企業(yè)網(wǎng)站的環(huán)境。

1電子商務網(wǎng)站安全內(nèi)容

電子商務網(wǎng)站融合了計算機網(wǎng)絡技術(shù)、通信網(wǎng)絡技術(shù)和計算機網(wǎng)絡技術(shù)于一體，以Internet技術(shù)為其基礎的技術(shù)平臺，互動性、開放性、廣泛性為其技術(shù)的顯著特點。由于其技術(shù)的開放性與互動的廣泛性，必然導致企業(yè)面臨各種安全的問題，如個人信息遭到泄露或被惡意篡改、欺騙、抵賴等。所以，網(wǎng)絡安全的問題已逐漸成為企業(yè)發(fā)展一個可以受信賴的電子商務網(wǎng)站發(fā)展環(huán)境的一大瓶頸。網(wǎng)站安全管理主要包括了計算機電子商務網(wǎng)絡的基礎設備、網(wǎng)絡信息系統(tǒng)和數(shù)據(jù)庫安全，而安全信息系統(tǒng)管理的一個基本要點就是對當前計算機電子商務網(wǎng)絡本身和運營中可能存在的安全技術(shù)威脅和問題有效地進行了管理，采取了相應的安全管理措施和解決方案，提升了電子商務計算機網(wǎng)絡的安全級別。電子商務計算機網(wǎng)站信息系統(tǒng)開發(fā)和運營過程中的后臺數(shù)據(jù)庫安全管理主要包含在對計算機的網(wǎng)絡安全中，屬于對電子商務計算機網(wǎng)絡安全的信息系統(tǒng)管理和保護范疇，因此，要想進一步加強對電子商務企業(yè)網(wǎng)站產(chǎn)品開發(fā)過程中的數(shù)據(jù)庫安全的管理，需要針對當前計算機網(wǎng)絡安全的特點進行整體性和重點的把握，掌握相關的安全識別技術(shù)和風險管理技術(shù)，提升電子商務網(wǎng)站后臺數(shù)據(jù)庫的安全管理效率。

2電子商務網(wǎng)站后臺數(shù)據(jù)庫的安全問題

2.1登錄數(shù)據(jù)庫環(huán)節(jié)產(chǎn)生的安全問題。開發(fā)電子商務網(wǎng)站后臺數(shù)據(jù)庫前，首先要設置登錄數(shù)據(jù)庫的身份驗證模式。身份驗證登錄模式主要是用來驗證確認其是否是合法登錄用戶。SQLServer確認用戶的登錄以及賬戶和密碼的設置正確性，驗證其登錄用戶是否已經(jīng)擁有通過網(wǎng)絡連接使用SQLServer的訪問權(quán)限。SQLServer數(shù)據(jù)庫提供了兩種用來確認已經(jīng)登錄用戶的身份驗證登錄模式，即一種是windows身份驗證的模式，另一種是混合身份驗證的模式。用戶登錄以后，網(wǎng)站可能會出現(xiàn)數(shù)據(jù)庫系統(tǒng)設置默認用戶賬號的異常情況，能夠直接讓用戶的賬號在其后續(xù)的數(shù)據(jù)庫訪問中能夠進行再次的訪問。但實際很多網(wǎng)站數(shù)據(jù)庫在建設的過程中，為了方便用戶網(wǎng)站的后續(xù)使用，沒有了設置繁瑣的用戶名和密碼，網(wǎng)站信息以后很容易就發(fā)生了數(shù)據(jù)被刪除或者修改的異?，F(xiàn)象，從而直接導致了網(wǎng)站數(shù)據(jù)庫在后續(xù)建設和使用的環(huán)節(jié)中可能會出現(xiàn)不同程度的安全性和經(jīng)濟損失。另外，很多網(wǎng)站用戶直接選擇使用數(shù)據(jù)庫系統(tǒng)默認的身份驗證用戶名和登錄密碼，這樣會直接導致網(wǎng)站數(shù)據(jù)庫的外泄，例如：“sa”不僅是SQLServer數(shù)據(jù)庫的管理系統(tǒng)設置的默認賬號，還是一個超級數(shù)據(jù)庫用戶的賬號，常常導致網(wǎng)站遭受非法的黑客攻擊。2.2數(shù)據(jù)庫結(jié)構(gòu)產(chǎn)生的安全問題。電子商務企業(yè)網(wǎng)站在數(shù)據(jù)庫開發(fā)的過程中，由于網(wǎng)站開發(fā)者與數(shù)據(jù)庫設計工作人員共同制定的網(wǎng)站數(shù)據(jù)庫系統(tǒng)結(jié)構(gòu)設計方案不是很完善，容易出現(xiàn)導致網(wǎng)站數(shù)據(jù)庫的結(jié)構(gòu)改變，產(chǎn)生安全問題。一般數(shù)據(jù)庫表現(xiàn)為以下三個主要的方面：（1）數(shù)據(jù)庫使用網(wǎng)站默認的固定數(shù)據(jù)庫存放位置存儲進入網(wǎng)站數(shù)據(jù)庫的文件。比如SQLServer數(shù)據(jù)庫的文件一般都是存放在data目錄中，這個數(shù)據(jù)儲存規(guī)律可能會被一些不法分子惡意利用來非法查找并惡意下載進入網(wǎng)站數(shù)據(jù)庫的文件，導致網(wǎng)站的信息系統(tǒng)數(shù)據(jù)被惡意竊取。（2）網(wǎng)站數(shù)據(jù)庫列表無法有效防止被惡意重命名。由于開發(fā)設計的人員沒有充分利用各類關鍵詞的組合對數(shù)據(jù)表名中的字段進行前后綴的處理，可能會直接導致數(shù)據(jù)出現(xiàn)各種安全問題。（3）對數(shù)據(jù)表名字段的非自定義關鍵詞命名。有些網(wǎng)站對數(shù)據(jù)表中的字段名直接使用關鍵詞定義命名，或者沒有全面組織開展密碼等數(shù)據(jù)字段名與密碼相關的工作，不利于提高網(wǎng)站數(shù)據(jù)的使用安全性。2.3網(wǎng)站后臺管理系統(tǒng)產(chǎn)生的安全問題。后臺設計和管理的系統(tǒng)對于電子商務網(wǎng)站數(shù)據(jù)庫前臺的穩(wěn)定正常運行起著至關重要的安全保障作用，而在整個電子商務數(shù)據(jù)庫網(wǎng)站實際管理系統(tǒng)開發(fā)的正常運行過程中，經(jīng)?？赡軙驗榫W(wǎng)站后臺管理系統(tǒng)的安全出現(xiàn)問題，無法真正有效的維護和保障電子商務網(wǎng)站數(shù)據(jù)庫整體的穩(wěn)定和安全性。電子商務網(wǎng)站的后臺設計和管理的系統(tǒng)在開發(fā)設計時很難有效克服以下問題：比如，部分電子商務網(wǎng)站開發(fā)設計人員由于技術(shù)水平和知識受限，直接將電子商務數(shù)據(jù)庫網(wǎng)站后臺設計和管理系統(tǒng)的某些后臺管理功能及地址放在了網(wǎng)站的首頁，從而直接暴露了整個數(shù)據(jù)庫網(wǎng)站后臺管理系統(tǒng)的地址，造成嚴重的網(wǎng)絡安全隱患。再例如，整個電子商務數(shù)據(jù)庫網(wǎng)站后臺管理系統(tǒng)只有首頁的內(nèi)容需要對網(wǎng)站后臺管理員的訪問權(quán)限和地址進行驗證，后續(xù)所有的網(wǎng)站界面均不再有管理員進行驗證。因此網(wǎng)站攻擊者通常只需直接在首頁輸入url地址，就已經(jīng)可以直接繞過管理員的驗證進入到整個數(shù)據(jù)庫后臺的管理系統(tǒng)之中，對整個數(shù)據(jù)庫后臺系統(tǒng)進行訪問，嚴重危及電子商務網(wǎng)站后臺數(shù)據(jù)庫的安全。2.4SQL注入產(chǎn)生的安全問題。絕大多數(shù)的攻擊者在電子商務網(wǎng)站后臺所遭受的非法網(wǎng)絡攻擊都可能是由于對sql的注入，sql注入語句如果本身存在了漏洞，就可能會直接導致網(wǎng)站后臺的數(shù)據(jù)厙和網(wǎng)站信息被非法竊取。sql的注入通過直接控制網(wǎng)站應用程序中的關鍵變量注入語句來直接控制網(wǎng)站后臺的數(shù)據(jù)厙，非法的入侵者可以通過此類方法控制變量來攻擊和竊取網(wǎng)站信息。但絕大多數(shù)電子網(wǎng)站后臺遭受的非法網(wǎng)絡攻擊都被認為是防火墻可以完全避免的，不過由于防火墻和人們的無知和疏忽，造成許多電子商務網(wǎng)站都不明白是什么原因被黑。再加上網(wǎng)上仍然存在著很多用戶可以隨意點擊下載的非法入侵電子商務網(wǎng)站的軟件和工具，任何一個人都完全可以隨意利用這些入侵的工具，可以用來攻擊和竊取網(wǎng)站的數(shù)據(jù)。最嚴重的網(wǎng)絡攻擊問題之一就是防火墻和一些殺毒軟件都無法很好的辨別出什么是sql變量注入的攻擊，因為它與一般的web頁面的瀏覽非常相似，所以無法很好的起到網(wǎng)絡安全防范的功能，給電子商務網(wǎng)站的后臺以及數(shù)據(jù)庫的安全和穩(wěn)定性造成了嚴重威脅。

3電子商務網(wǎng)站后臺數(shù)據(jù)庫安全問題的防范對策

3.1登錄數(shù)據(jù)庫系統(tǒng)特殊賬戶管理。電子商務企業(yè)網(wǎng)站系統(tǒng)后臺數(shù)據(jù)庫管理系統(tǒng)開發(fā)的過程中，必須注意的是要高度重視特殊用戶賬號的管理工作，例如：電子商務網(wǎng)站中“sa”這個數(shù)據(jù)庫系統(tǒng)內(nèi)置的特殊賬號不可以被直接進行刪除，也可能無法被直接進行修改，此類特殊賬號的質(zhì)量和安全性相對較低，直接管理人員使用此類特殊賬號無法登錄數(shù)據(jù)庫管理系統(tǒng)會很容易引發(fā)安全問題，難以有效提升電子商務企業(yè)網(wǎng)站數(shù)據(jù)庫整體的質(zhì)量。因此，我們管理人員可以不直接使用數(shù)據(jù)庫管理系統(tǒng)的數(shù)據(jù)庫默認用戶賬號和數(shù)據(jù)庫權(quán)限，而是重新設計建立一個數(shù)據(jù)庫的超級用戶賬號來負責管理整個數(shù)據(jù)庫，并且直接賦予其與數(shù)據(jù)庫默認用戶賬號相同的數(shù)據(jù)庫權(quán)限。而當管理人員必須使用數(shù)據(jù)庫默認的賬號時，可直接使用8位以上的“字母＋數(shù)字”組合的密碼，注意要正確設置進入數(shù)據(jù)庫的密碼或者直接使用黑客易猜解的數(shù)據(jù)庫密碼，這樣可大大增強對該數(shù)據(jù)庫賬號的安全保護，提升整個數(shù)據(jù)庫的質(zhì)量和安全性，同時，數(shù)據(jù)庫管理系統(tǒng)設計的人員還要注意避免出現(xiàn)數(shù)據(jù)庫管理系統(tǒng)軟件密碼泄露的異?，F(xiàn)象，避免讓不法的人員對數(shù)據(jù)庫有可乘之機。3.2設計符合規(guī)范的數(shù)據(jù)庫結(jié)構(gòu)。設計一個符合規(guī)范的與數(shù)據(jù)庫相關的文件結(jié)構(gòu)系統(tǒng)時可以從以下幾個關鍵方面的細節(jié)著手：（1）及時更改與數(shù)據(jù)庫相關文件的存儲路徑和位置。比如：SQLServer系統(tǒng)中相關文件的位置是默認存儲在數(shù)據(jù)庫的data文件夾或數(shù)據(jù)庫中的，開發(fā)設計的人員首先可更改文件存放的路徑，而后及時修改與其他數(shù)據(jù)庫相關文件連接的系統(tǒng)相關文件位置信息。（2）使用了odbc的數(shù)據(jù)源。odbc的數(shù)據(jù)源優(yōu)點之一是用它開發(fā)生成的數(shù)據(jù)庫應用程序與數(shù)據(jù)庫或其他數(shù)據(jù)庫的引擎完全無關，隔離了系統(tǒng)和數(shù)據(jù)庫的所有實現(xiàn)操作細節(jié)，這樣數(shù)據(jù)源就可以有效地讓非法的用戶在系統(tǒng)中無法及時找到與數(shù)據(jù)庫相關文件，從而大大提高了數(shù)據(jù)庫的安全性。數(shù)據(jù)庫的設計需要開發(fā)人員在現(xiàn)有的iis中手動配置新的odbc文件和數(shù)據(jù)源，并重新設置好現(xiàn)有的數(shù)據(jù)庫文件的數(shù)據(jù)源和存儲位置即可。（3）建立和完善數(shù)據(jù)庫重命名管理制度?？梢詾橥粋€數(shù)據(jù)庫的主文件名選取復雜的英文名字，并將它存儲在較深層的數(shù)據(jù)庫路徑下。如網(wǎng)上零食店的數(shù)據(jù)庫主文件名，不要給自己起一個諸如“food.mdf”或者“delicious.mdf”之類的英文名字，并將它直接存儲在較深層的數(shù)據(jù)庫路徑下。另外給數(shù)據(jù)庫表和字段進行命名時可以盡量采用簡單的字母加數(shù)字進行組合的命名方式，可以有效防止代碼在sql注入時被猜測到。3.3提高網(wǎng)站后臺管理系統(tǒng)的安全性。提高企業(yè)網(wǎng)站后臺信息管理數(shù)據(jù)庫系統(tǒng)的使用安全性主要可以從以下幾個重要方面著手：首先，設計人員一定需要注意設置較為復雜的網(wǎng)站后臺賬號，并且一定要盡量避免出現(xiàn)網(wǎng)站后臺賬號信息泄露的異?，F(xiàn)象。其次，電子商務企業(yè)網(wǎng)站后臺開發(fā)技術(shù)系統(tǒng)設計人員在開發(fā)時還需要能夠繞過非法網(wǎng)站和用戶的頁面，設置一些能夠具有非法用戶正常訪問權(quán)限的字符和變量標識，例如：通過設置一個session的變量標識可以使某些非法用戶只有能夠得到相應正常訪問權(quán)限和用戶賬號才能正常訪問。最后，設計人員在設計時一定要考慮到能夠有效保障網(wǎng)站后臺賬號所有字符的安全保密性以及網(wǎng)站后臺賬號的安全連續(xù)性，增強了電子商務企業(yè)網(wǎng)站后臺數(shù)據(jù)庫系統(tǒng)開發(fā)過程中安全技術(shù)問題的綜合解決能力和效果。3.4防止SQL注入產(chǎn)生漏洞。電子商務企業(yè)網(wǎng)站的后臺管理數(shù)據(jù)庫系統(tǒng)開發(fā)的過程中，sql的注入過程中會產(chǎn)生哪些漏洞的問題無疑是非常關鍵的，要及時采取有效的措施來保護和防止sql的注入。具體防漏洞的操作方法介紹如下：（1）把數(shù)據(jù)庫的sql程序作為核心的代碼直接存儲在數(shù)據(jù)庫的存儲過程中或直接使用XMLwebservice，這種防漏洞的方法實際上不但可以有效保護程序中的核心代碼，避免了sql的注入，同時可以大大提高數(shù)據(jù)庫系統(tǒng)的性能。（2）在編寫一個數(shù)據(jù)庫的查詢語句時，對數(shù)據(jù)庫的sql注入程序中需要輸入的所有變量用一對單獨的引號方式來進行標注。（3）用戶訪問一個數(shù)據(jù)庫時不應該選擇使用最高訪問權(quán)限，而是選擇使用windows驗證的模式進行用戶身份驗證。

4結(jié)束語

隨著網(wǎng)絡技術(shù)的迅速發(fā)展，電子商務網(wǎng)站后臺數(shù)據(jù)庫開發(fā)過程中將會面臨越來越多的安全問題，因此，開發(fā)設計人員應該從賬戶管理、數(shù)據(jù)庫結(jié)構(gòu)完善、網(wǎng)站后臺管理系統(tǒng)安全以及漏洞問題預防這幾個方面著手，結(jié)合實際情況采用相應的對策，排除各種安全隱患，使得電子商務網(wǎng)站向更安全、更健康的方面迅速發(fā)展，進而帶動社會經(jīng)濟的進步。

參考文獻：

[1]陳芳.電子商務背景下網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題的探討[J].電腦迷，2016（8）：37-38.

[2]王蕾.電子商務網(wǎng)站中的數(shù)據(jù)庫安全問題研究[J].通訊世界，2015（13）：30-31.

作者:丁佩佩 單位:揚州市職業(yè)大學