導(dǎo)語：電子商務(wù)網(wǎng)站后臺數(shù)據(jù)庫開發(fā)研究一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著國家科技的飛速發(fā)展，網(wǎng)購的興起，電商網(wǎng)站也得到了快速發(fā)展，成為新時(shí)期的主要商業(yè)形式之一。但是，在電子商務(wù)網(wǎng)站后臺數(shù)據(jù)庫的開發(fā)過程中，經(jīng)常會(huì)出現(xiàn)各類嚴(yán)重的安全問題，導(dǎo)致電子商務(wù)網(wǎng)站的總體質(zhì)量很難提升，發(fā)展效果不甚理想。文章從電子商務(wù)網(wǎng)站后臺數(shù)據(jù)庫開發(fā)設(shè)計(jì)的角度，著重分析了在此過程中可能存在的安全隱患，并結(jié)合實(shí)際給出了相應(yīng)的防范對策。

關(guān)鍵詞：電子商務(wù)網(wǎng)站；數(shù)據(jù)庫安全問題；對策

隨著我國移動(dòng)互聯(lián)網(wǎng)信息化時(shí)代的進(jìn)一步到來和互聯(lián)網(wǎng)科技的進(jìn)步以及飛速發(fā)展，越來越多的電子商務(wù)企業(yè)和消費(fèi)者借助于電子商務(wù)平臺成功開展了線上的交易，消費(fèi)者足不出戶就可以在電商的網(wǎng)站上享受到全球的服務(wù)和購買商品，電商平臺這種方便高效、低成本、個(gè)性化的經(jīng)營特點(diǎn)引領(lǐng)著互聯(lián)網(wǎng)商業(yè)的潮流。但是電商平臺伴隨著快速的經(jīng)濟(jì)發(fā)展諸多的問題都呈現(xiàn)了出來，不僅嚴(yán)重威脅到了交易雙方的消費(fèi)者利益，還嚴(yán)重制約了電子商務(wù)社會(huì)和經(jīng)濟(jì)的進(jìn)一步健康發(fā)展。因此，企業(yè)在對電子商務(wù)企業(yè)網(wǎng)站的后臺數(shù)據(jù)庫的開發(fā)和設(shè)計(jì)過程中，一定要特別注重安全防范，設(shè)計(jì)的人員一定要認(rèn)真研究制定數(shù)據(jù)庫安全防范管理制度，創(chuàng)新安全防范管理的方式，樹立正確的數(shù)據(jù)庫管理安全觀念，確保后臺數(shù)據(jù)庫的使用安全性，為參與交易的雙方和消費(fèi)者營造安全的使用電子商務(wù)企業(yè)網(wǎng)站的環(huán)境。

1電子商務(wù)網(wǎng)站安全內(nèi)容

電子商務(wù)網(wǎng)站融合了計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、通信網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)于一體，以Internet技術(shù)為其基礎(chǔ)的技術(shù)平臺，互動(dòng)性、開放性、廣泛性為其技術(shù)的顯著特點(diǎn)。由于其技術(shù)的開放性與互動(dòng)的廣泛性，必然導(dǎo)致企業(yè)面臨各種安全的問題，如個(gè)人信息遭到泄露或被惡意篡改、欺騙、抵賴等。所以，網(wǎng)絡(luò)安全的問題已逐漸成為企業(yè)發(fā)展一個(gè)可以受信賴的電子商務(wù)網(wǎng)站發(fā)展環(huán)境的一大瓶頸。網(wǎng)站安全管理主要包括了計(jì)算機(jī)電子商務(wù)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備、網(wǎng)絡(luò)信息系統(tǒng)和數(shù)據(jù)庫安全，而安全信息系統(tǒng)管理的一個(gè)基本要點(diǎn)就是對當(dāng)前計(jì)算機(jī)電子商務(wù)網(wǎng)絡(luò)本身和運(yùn)營中可能存在的安全技術(shù)威脅和問題有效地進(jìn)行了管理，采取了相應(yīng)的安全管理措施和解決方案，提升了電子商務(wù)計(jì)算機(jī)網(wǎng)絡(luò)的安全級別。電子商務(wù)計(jì)算機(jī)網(wǎng)站信息系統(tǒng)開發(fā)和運(yùn)營過程中的后臺數(shù)據(jù)庫安全管理主要包含在對計(jì)算機(jī)的網(wǎng)絡(luò)安全中，屬于對電子商務(wù)計(jì)算機(jī)網(wǎng)絡(luò)安全的信息系統(tǒng)管理和保護(hù)范疇，因此，要想進(jìn)一步加強(qiáng)對電子商務(wù)企業(yè)網(wǎng)站產(chǎn)品開發(fā)過程中的數(shù)據(jù)庫安全的管理，需要針對當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全的特點(diǎn)進(jìn)行整體性和重點(diǎn)的把握，掌握相關(guān)的安全識別技術(shù)和風(fēng)險(xiǎn)管理技術(shù)，提升電子商務(wù)網(wǎng)站后臺數(shù)據(jù)庫的安全管理效率。

2電子商務(wù)網(wǎng)站后臺數(shù)據(jù)庫的安全問題

2.1登錄數(shù)據(jù)庫環(huán)節(jié)產(chǎn)生的安全問題。開發(fā)電子商務(wù)網(wǎng)站后臺數(shù)據(jù)庫前，首先要設(shè)置登錄數(shù)據(jù)庫的身份驗(yàn)證模式。身份驗(yàn)證登錄模式主要是用來驗(yàn)證確認(rèn)其是否是合法登錄用戶。SQLServer確認(rèn)用戶的登錄以及賬戶和密碼的設(shè)置正確性，驗(yàn)證其登錄用戶是否已經(jīng)擁有通過網(wǎng)絡(luò)連接使用SQLServer的訪問權(quán)限。SQLServer數(shù)據(jù)庫提供了兩種用來確認(rèn)已經(jīng)登錄用戶的身份驗(yàn)證登錄模式，即一種是windows身份驗(yàn)證的模式，另一種是混合身份驗(yàn)證的模式。用戶登錄以后，網(wǎng)站可能會(huì)出現(xiàn)數(shù)據(jù)庫系統(tǒng)設(shè)置默認(rèn)用戶賬號的異常情況，能夠直接讓用戶的賬號在其后續(xù)的數(shù)據(jù)庫訪問中能夠進(jìn)行再次的訪問。但實(shí)際很多網(wǎng)站數(shù)據(jù)庫在建設(shè)的過程中，為了方便用戶網(wǎng)站的后續(xù)使用，沒有了設(shè)置繁瑣的用戶名和密碼，網(wǎng)站信息以后很容易就發(fā)生了數(shù)據(jù)被刪除或者修改的異常現(xiàn)象，從而直接導(dǎo)致了網(wǎng)站數(shù)據(jù)庫在后續(xù)建設(shè)和使用的環(huán)節(jié)中可能會(huì)出現(xiàn)不同程度的安全性和經(jīng)濟(jì)損失。另外，很多網(wǎng)站用戶直接選擇使用數(shù)據(jù)庫系統(tǒng)默認(rèn)的身份驗(yàn)證用戶名和登錄密碼，這樣會(huì)直接導(dǎo)致網(wǎng)站數(shù)據(jù)庫的外泄，例如：“sa”不僅是SQLServer數(shù)據(jù)庫的管理系統(tǒng)設(shè)置的默認(rèn)賬號，還是一個(gè)超級數(shù)據(jù)庫用戶的賬號，常常導(dǎo)致網(wǎng)站遭受非法的黑客攻擊。2.2數(shù)據(jù)庫結(jié)構(gòu)產(chǎn)生的安全問題。電子商務(wù)企業(yè)網(wǎng)站在數(shù)據(jù)庫開發(fā)的過程中，由于網(wǎng)站開發(fā)者與數(shù)據(jù)庫設(shè)計(jì)工作人員共同制定的網(wǎng)站數(shù)據(jù)庫系統(tǒng)結(jié)構(gòu)設(shè)計(jì)方案不是很完善，容易出現(xiàn)導(dǎo)致網(wǎng)站數(shù)據(jù)庫的結(jié)構(gòu)改變，產(chǎn)生安全問題。一般數(shù)據(jù)庫表現(xiàn)為以下三個(gè)主要的方面：（1）數(shù)據(jù)庫使用網(wǎng)站默認(rèn)的固定數(shù)據(jù)庫存放位置存儲進(jìn)入網(wǎng)站數(shù)據(jù)庫的文件。比如SQLServer數(shù)據(jù)庫的文件一般都是存放在data目錄中，這個(gè)數(shù)據(jù)儲存規(guī)律可能會(huì)被一些不法分子惡意利用來非法查找并惡意下載進(jìn)入網(wǎng)站數(shù)據(jù)庫的文件，導(dǎo)致網(wǎng)站的信息系統(tǒng)數(shù)據(jù)被惡意竊取。（2）網(wǎng)站數(shù)據(jù)庫列表無法有效防止被惡意重命名。由于開發(fā)設(shè)計(jì)的人員沒有充分利用各類關(guān)鍵詞的組合對數(shù)據(jù)表名中的字段進(jìn)行前后綴的處理，可能會(huì)直接導(dǎo)致數(shù)據(jù)出現(xiàn)各種安全問題。（3）對數(shù)據(jù)表名字段的非自定義關(guān)鍵詞命名。有些網(wǎng)站對數(shù)據(jù)表中的字段名直接使用關(guān)鍵詞定義命名，或者沒有全面組織開展密碼等數(shù)據(jù)字段名與密碼相關(guān)的工作，不利于提高網(wǎng)站數(shù)據(jù)的使用安全性。2.3網(wǎng)站后臺管理系統(tǒng)產(chǎn)生的安全問題。后臺設(shè)計(jì)和管理的系統(tǒng)對于電子商務(wù)網(wǎng)站數(shù)據(jù)庫前臺的穩(wěn)定正常運(yùn)行起著至關(guān)重要的安全保障作用，而在整個(gè)電子商務(wù)數(shù)據(jù)庫網(wǎng)站實(shí)際管理系統(tǒng)開發(fā)的正常運(yùn)行過程中，經(jīng)常可能會(huì)因?yàn)榫W(wǎng)站后臺管理系統(tǒng)的安全出現(xiàn)問題，無法真正有效的維護(hù)和保障電子商務(wù)網(wǎng)站數(shù)據(jù)庫整體的穩(wěn)定和安全性。電子商務(wù)網(wǎng)站的后臺設(shè)計(jì)和管理的系統(tǒng)在開發(fā)設(shè)計(jì)時(shí)很難有效克服以下問題：比如，部分電子商務(wù)網(wǎng)站開發(fā)設(shè)計(jì)人員由于技術(shù)水平和知識受限，直接將電子商務(wù)數(shù)據(jù)庫網(wǎng)站后臺設(shè)計(jì)和管理系統(tǒng)的某些后臺管理功能及地址放在了網(wǎng)站的首頁，從而直接暴露了整個(gè)數(shù)據(jù)庫網(wǎng)站后臺管理系統(tǒng)的地址，造成嚴(yán)重的網(wǎng)絡(luò)安全隱患。再例如，整個(gè)電子商務(wù)數(shù)據(jù)庫網(wǎng)站后臺管理系統(tǒng)只有首頁的內(nèi)容需要對網(wǎng)站后臺管理員的訪問權(quán)限和地址進(jìn)行驗(yàn)證，后續(xù)所有的網(wǎng)站界面均不再有管理員進(jìn)行驗(yàn)證。因此網(wǎng)站攻擊者通常只需直接在首頁輸入url地址，就已經(jīng)可以直接繞過管理員的驗(yàn)證進(jìn)入到整個(gè)數(shù)據(jù)庫后臺的管理系統(tǒng)之中，對整個(gè)數(shù)據(jù)庫后臺系統(tǒng)進(jìn)行訪問，嚴(yán)重危及電子商務(wù)網(wǎng)站后臺數(shù)據(jù)庫的安全。2.4SQL注入產(chǎn)生的安全問題。絕大多數(shù)的攻擊者在電子商務(wù)網(wǎng)站后臺所遭受的非法網(wǎng)絡(luò)攻擊都可能是由于對sql的注入，sql注入語句如果本身存在了漏洞，就可能會(huì)直接導(dǎo)致網(wǎng)站后臺的數(shù)據(jù)厙和網(wǎng)站信息被非法竊取。sql的注入通過直接控制網(wǎng)站應(yīng)用程序中的關(guān)鍵變量注入語句來直接控制網(wǎng)站后臺的數(shù)據(jù)厙，非法的入侵者可以通過此類方法控制變量來攻擊和竊取網(wǎng)站信息。但絕大多數(shù)電子網(wǎng)站后臺遭受的非法網(wǎng)絡(luò)攻擊都被認(rèn)為是防火墻可以完全避免的，不過由于防火墻和人們的無知和疏忽，造成許多電子商務(wù)網(wǎng)站都不明白是什么原因被黑。再加上網(wǎng)上仍然存在著很多用戶可以隨意點(diǎn)擊下載的非法入侵電子商務(wù)網(wǎng)站的軟件和工具，任何一個(gè)人都完全可以隨意利用這些入侵的工具，可以用來攻擊和竊取網(wǎng)站的數(shù)據(jù)。最嚴(yán)重的網(wǎng)絡(luò)攻擊問題之一就是防火墻和一些殺毒軟件都無法很好的辨別出什么是sql變量注入的攻擊，因?yàn)樗c一般的web頁面的瀏覽非常相似，所以無法很好的起到網(wǎng)絡(luò)安全防范的功能，給電子商務(wù)網(wǎng)站的后臺以及數(shù)據(jù)庫的安全和穩(wěn)定性造成了嚴(yán)重威脅。

3電子商務(wù)網(wǎng)站后臺數(shù)據(jù)庫安全問題的防范對策

3.1登錄數(shù)據(jù)庫系統(tǒng)特殊賬戶管理。電子商務(wù)企業(yè)網(wǎng)站系統(tǒng)后臺數(shù)據(jù)庫管理系統(tǒng)開發(fā)的過程中，必須注意的是要高度重視特殊用戶賬號的管理工作，例如：電子商務(wù)網(wǎng)站中“sa”這個(gè)數(shù)據(jù)庫系統(tǒng)內(nèi)置的特殊賬號不可以被直接進(jìn)行刪除，也可能無法被直接進(jìn)行修改，此類特殊賬號的質(zhì)量和安全性相對較低，直接管理人員使用此類特殊賬號無法登錄數(shù)據(jù)庫管理系統(tǒng)會(huì)很容易引發(fā)安全問題，難以有效提升電子商務(wù)企業(yè)網(wǎng)站數(shù)據(jù)庫整體的質(zhì)量。因此，我們管理人員可以不直接使用數(shù)據(jù)庫管理系統(tǒng)的數(shù)據(jù)庫默認(rèn)用戶賬號和數(shù)據(jù)庫權(quán)限，而是重新設(shè)計(jì)建立一個(gè)數(shù)據(jù)庫的超級用戶賬號來負(fù)責(zé)管理整個(gè)數(shù)據(jù)庫，并且直接賦予其與數(shù)據(jù)庫默認(rèn)用戶賬號相同的數(shù)據(jù)庫權(quán)限。而當(dāng)管理人員必須使用數(shù)據(jù)庫默認(rèn)的賬號時(shí)，可直接使用8位以上的“字母＋數(shù)字”組合的密碼，注意要正確設(shè)置進(jìn)入數(shù)據(jù)庫的密碼或者直接使用黑客易猜解的數(shù)據(jù)庫密碼，這樣可大大增強(qiáng)對該數(shù)據(jù)庫賬號的安全保護(hù)，提升整個(gè)數(shù)據(jù)庫的質(zhì)量和安全性，同時(shí)，數(shù)據(jù)庫管理系統(tǒng)設(shè)計(jì)的人員還要注意避免出現(xiàn)數(shù)據(jù)庫管理系統(tǒng)軟件密碼泄露的異常現(xiàn)象，避免讓不法的人員對數(shù)據(jù)庫有可乘之機(jī)。3.2設(shè)計(jì)符合規(guī)范的數(shù)據(jù)庫結(jié)構(gòu)。設(shè)計(jì)一個(gè)符合規(guī)范的與數(shù)據(jù)庫相關(guān)的文件結(jié)構(gòu)系統(tǒng)時(shí)可以從以下幾個(gè)關(guān)鍵方面的細(xì)節(jié)著手：（1）及時(shí)更改與數(shù)據(jù)庫相關(guān)文件的存儲路徑和位置。比如：SQLServer系統(tǒng)中相關(guān)文件的位置是默認(rèn)存儲在數(shù)據(jù)庫的data文件夾或數(shù)據(jù)庫中的，開發(fā)設(shè)計(jì)的人員首先可更改文件存放的路徑，而后及時(shí)修改與其他數(shù)據(jù)庫相關(guān)文件連接的系統(tǒng)相關(guān)文件位置信息。（2）使用了odbc的數(shù)據(jù)源。odbc的數(shù)據(jù)源優(yōu)點(diǎn)之一是用它開發(fā)生成的數(shù)據(jù)庫應(yīng)用程序與數(shù)據(jù)庫或其他數(shù)據(jù)庫的引擎完全無關(guān)，隔離了系統(tǒng)和數(shù)據(jù)庫的所有實(shí)現(xiàn)操作細(xì)節(jié)，這樣數(shù)據(jù)源就可以有效地讓非法的用戶在系統(tǒng)中無法及時(shí)找到與數(shù)據(jù)庫相關(guān)文件，從而大大提高了數(shù)據(jù)庫的安全性。數(shù)據(jù)庫的設(shè)計(jì)需要開發(fā)人員在現(xiàn)有的iis中手動(dòng)配置新的odbc文件和數(shù)據(jù)源，并重新設(shè)置好現(xiàn)有的數(shù)據(jù)庫文件的數(shù)據(jù)源和存儲位置即可。（3）建立和完善數(shù)據(jù)庫重命名管理制度。可以為同一個(gè)數(shù)據(jù)庫的主文件名選取復(fù)雜的英文名字，并將它存儲在較深層的數(shù)據(jù)庫路徑下。如網(wǎng)上零食店的數(shù)據(jù)庫主文件名，不要給自己起一個(gè)諸如“food.mdf”或者“delicious.mdf”之類的英文名字，并將它直接存儲在較深層的數(shù)據(jù)庫路徑下。另外給數(shù)據(jù)庫表和字段進(jìn)行命名時(shí)可以盡量采用簡單的字母加數(shù)字進(jìn)行組合的命名方式，可以有效防止代碼在sql注入時(shí)被猜測到。3.3提高網(wǎng)站后臺管理系統(tǒng)的安全性。提高企業(yè)網(wǎng)站后臺信息管理數(shù)據(jù)庫系統(tǒng)的使用安全性主要可以從以下幾個(gè)重要方面著手：首先，設(shè)計(jì)人員一定需要注意設(shè)置較為復(fù)雜的網(wǎng)站后臺賬號，并且一定要盡量避免出現(xiàn)網(wǎng)站后臺賬號信息泄露的異常現(xiàn)象。其次，電子商務(wù)企業(yè)網(wǎng)站后臺開發(fā)技術(shù)系統(tǒng)設(shè)計(jì)人員在開發(fā)時(shí)還需要能夠繞過非法網(wǎng)站和用戶的頁面，設(shè)置一些能夠具有非法用戶正常訪問權(quán)限的字符和變量標(biāo)識，例如：通過設(shè)置一個(gè)session的變量標(biāo)識可以使某些非法用戶只有能夠得到相應(yīng)正常訪問權(quán)限和用戶賬號才能正常訪問。最后，設(shè)計(jì)人員在設(shè)計(jì)時(shí)一定要考慮到能夠有效保障網(wǎng)站后臺賬號所有字符的安全保密性以及網(wǎng)站后臺賬號的安全連續(xù)性，增強(qiáng)了電子商務(wù)企業(yè)網(wǎng)站后臺數(shù)據(jù)庫系統(tǒng)開發(fā)過程中安全技術(shù)問題的綜合解決能力和效果。3.4防止SQL注入產(chǎn)生漏洞。電子商務(wù)企業(yè)網(wǎng)站的后臺管理數(shù)據(jù)庫系統(tǒng)開發(fā)的過程中，sql的注入過程中會(huì)產(chǎn)生哪些漏洞的問題無疑是非常關(guān)鍵的，要及時(shí)采取有效的措施來保護(hù)和防止sql的注入。具體防漏洞的操作方法介紹如下：（1）把數(shù)據(jù)庫的sql程序作為核心的代碼直接存儲在數(shù)據(jù)庫的存儲過程中或直接使用XMLwebservice，這種防漏洞的方法實(shí)際上不但可以有效保護(hù)程序中的核心代碼，避免了sql的注入，同時(shí)可以大大提高數(shù)據(jù)庫系統(tǒng)的性能。（2）在編寫一個(gè)數(shù)據(jù)庫的查詢語句時(shí)，對數(shù)據(jù)庫的sql注入程序中需要輸入的所有變量用一對單獨(dú)的引號方式來進(jìn)行標(biāo)注。（3）用戶訪問一個(gè)數(shù)據(jù)庫時(shí)不應(yīng)該選擇使用最高訪問權(quán)限，而是選擇使用windows驗(yàn)證的模式進(jìn)行用戶身份驗(yàn)證。

4結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，電子商務(wù)網(wǎng)站后臺數(shù)據(jù)庫開發(fā)過程中將會(huì)面臨越來越多的安全問題，因此，開發(fā)設(shè)計(jì)人員應(yīng)該從賬戶管理、數(shù)據(jù)庫結(jié)構(gòu)完善、網(wǎng)站后臺管理系統(tǒng)安全以及漏洞問題預(yù)防這幾個(gè)方面著手，結(jié)合實(shí)際情況采用相應(yīng)的對策，排除各種安全隱患，使得電子商務(wù)網(wǎng)站向更安全、更健康的方面迅速發(fā)展，進(jìn)而帶動(dòng)社會(huì)經(jīng)濟(jì)的進(jìn)步。

參考文獻(xiàn)：

[1]陳芳.電子商務(wù)背景下網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題的探討[J].電腦迷，2016（8）：37-38.

[2]王蕾.電子商務(wù)網(wǎng)站中的數(shù)據(jù)庫安全問題研究[J].通訊世界，2015（13）：30-31.

作者:丁佩佩 單位:揚(yáng)州市職業(yè)大學(xué)