楼上的这种问题我也遇到过,往往是设计网站界面视图的人没有考虑到所有的需求,提供的数据库查询不够灵活。
确实有可能找到办法去访问这个数据库,不过应该提醒楼主,网站做界面的目的出了美观方便外,就是要限制用户不访问,所以通过非正常途径访问就要承担一定的责任了。
具体方法有:
1.理想方法:得到数据库的地址,例如楼上说的把mdb文件直接下载下来。当然很少有网站用access做数据库的,一般情况是需要知道数据库IP地址,数据库类型,库名,用户名和密码,然后通过toad等客户端软件来访问。
既然是理想方法,这种情况不太可能发生,除非你是内部人士,可以知道很多信息。因为通常数据库服务器会放在局域网上,不能被外部访问到。
2.实际方法:采用sql注入等黑客技术。SQL注入是最简单的黑客技术了,不过由于简单威力也不会很大,要求网站设计对于安全的考虑不周,存在漏洞才行。
由于网站设计不周,就会在出错或者某些情况下暴露出数据库表结构的一些内幕,这样就可以写出你想要的SQL命令,把它插入到Web表单递交,或者页面请求的查询字符串中,最终达到欺骗服务器执行的目的。
如果楼主想了解更多,可以学学黑客知识,祝楼主好运!
Ⅱ 网站如何让用户可以正常登录,同时不怕数据库被盗
职责所在,不邀自来。
首先感谢楼上的回到,真的很详实,接下来,我从三个方面讲一讲该如何做才能最大程度(没有百分百)的不出现数据库被盗的悲剧。
第一点也是最重要的一点,是保证应用程序的安全,保证黑客不能通过XSS、SQL注入、命令执行等等一系列的攻击手段把数据库盗走。
把数据库盗走的方式很多,比如入侵了数据库所在的服务器,把数据库文件直接复制走。把数据库的备份偷走。利用SQL注入把整个数据库的所有表全部偷走。针对以上种种,有哪些防范措施呢?权限控制,账号体系。比如应用程序不能通过root账号启动、更改数据库的默认账号,这些小技巧,在关键时候,就能阻止黑客的进一步入侵。所以,安全一定不能马虎大意,要防微杜渐。不然,很容易就“千里之堤毁于蚁穴”。
以上,肯定还是不全面的,欢迎各位同仁一起讨论。
Ⅲ 网站数据安全怎么保护啊
网站数据安全怎么保护啊?
首先要作好事先的防范工作,也就是按照《反不正当法》的规定,采取保密措施。
第一,要划定保密区域,在保密区域内加强保卫措施。确定管理办法。
第二,对企业的重要文件、资料应及时确定其保密级别、加盖保密章,予以存档或销毁,同时应制定出企业的文件管理、借阅、复印、销毁办法,以及外发文件的审阅办法。
第三,把商业秘密限定在必须了解该秘密的员工以及第三方、合同方范围之内,对职工限制掌握的知识,并加强对员工的保密。
第四,在合同中约定保密义务。包括:在劳动合同或专门的保密合同中,与员工签定书面保密协议,要求员工保守在工作期间接触到的一切企业的商业秘密以及企业承担保密责任的其他企业的商业秘密。
制度上很难有突破,倒是可以在策略上想办法。
域之盾是一套电脑信息终端安全管理系统,用来保护企业内部文档不外泄,并规范员工的计算机操作行为。
主要功能包括:数据防泄密、文档安全管理、桌面管理、行为审计、网络安全管理、打印审计、U盘管理等。
软件由服务端程序、控制台程序和终端程序三部分组成。服务端程序要安装在长开机的服务器电脑上,控制台程序安装在管理员使用的电脑上,终端程序安装在每个需要文档保护/或者需要阅读加密文档的员工电脑上。
域之盾致力于为企业提供数据安全防护整体解决方案,在长期的数据安全实践中,对深层防御战略有着深刻的体会,并将它完全融合于产品设计理念和设计体系之中,通过数据防泄密和文档安全管理两大平台进行综合安全防护,构建多层次、全方位的数据安全一体化管理体系。
Ⅳ [MYSQL数据库]如何安全地用mysql网页式管理工具访问数据库 详细�0�3
在使用通达OA 系统时很多用户需要借助Mysql 网页式管理工具进入后台数 据库去查看数据,进行一些相应的操作。但是大多数时候用户安装完该工具后都是 下面简单介绍几种方法。 方法一:设置以用户名和密码的方式登录数据库。具体设置方法如下: 1、安装完mysql 数据库管理工具后,在OA 安装目录\webroot\mysql 下找到配置文 件config.inc.php,并用记事本打开。 2、找到该行$cfg['Servers'][$i]['auth_type'] = 'config'; // Authentication method (valid choices: config, http, HTTP, signon or cookie),将其修改为 $cfg['Servers'][$i]['auth_type'] = 'http'; // Authentication method (valid choices: config, http, HTTP, signon or cookie)并保存。 3、进行修改后,当登录后台数据库时首先会弹出下列该窗口,要求输入用户名和 密码,否则将不能登录。很显然,这种方式登录比直接登录更安全些。说明:默认 用户名为root,密码为myoa888。2采用用户名和密码的方式登录数据库虽然安全性增强了不少,但是用数据库默 改mysql 数据库的密码。这也就是接下来要介绍的第二种方法。 方法二:修改mysql 数据库的密码,以使更加安全访问数据库。修改密码的操作方 法这里不再详作介绍,具体参考该文档:通达网站/OA 知识库/!全新推出-通达OA 据库密码.doc特别说明:1、安装mysql 网页式数据库管理工具时,目录名默认是mysql,为了防止用户利 用该工具侵入数据库系统,可把目录名设为比较复杂的,如mysql23@43,避免目 录名被猜测到。 2、该管理工具的使用需具有一定数据库基础,请勿进行危险操作,若需要对数据 库进行操作的,请注意一定要在操作前做好数据库的备份,以免导致数据丢失。
Ⅳ 如何保证网络数据库的安全
数据库的安全性是指保护数据库以防止非法使用所造成的数据泄密、更改或破坏安全性控制的方法安全性控制是指要尽可能地杜绝任何形式的数据库非法访问。常用的安全措施有用户标识和鉴别、用户存取权限控制、定义视图、数据加密、安全审计以及事务管理和故障恢复等几类1.用户标识和鉴别用户标识和鉴别的方法是由系统提供一定的方式让用户标识自己的身份,系统内部记录着所有合法用户的标识,每次用户要求进入系统时,由系统进行核实,通过鉴定后才提供其使用权。为了鉴别用户身份,一般采用以下几种方法(1)利用只有用户知道的信息鉴别用户(2)利用只有用户具有的物品鉴别用户(3)利用用户的个人特征鉴别用户。用户存取权限控制用户存取权限是指不同的用户对于不同的数据对象有不同的操作权限。存取权限由两个要素组成:数据对象和操作类型。定义一个用户的存取权限就是要定义这个用户可以在哪些数据对象上进行哪些类型的操作权限分系统权限和对象权限两种。系统权限由DBA授予某些数据库用户,只有得到系统权限,才能成为数据库用户。对象权限是授予数据库用户对某些数据对象进行某些操作的权限,它既可由DBA授权,也可由数据对象的创建者授予。授权定义经过编译后以一张授权表的形式存放在数据字典中。定义视图为不同的用户定义不同的视图,可以限制用户的访问范围。通过视图机制把需要保密的数据对无权存取这些数据的用户隐藏起来,可以对数据库提供一定程度的安全保护。实际应用中常将视图机制与授权机制结合起来使用,首先用视图机制屏蔽一部分保密数据,然后在视图上进一步进行授权。数据加密数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。数据加密技术在8.3节中已有详细介绍。安全审计安全审计是一种监视措施,对于某些高度敏感的保密数据,系统跟踪记录有关这些数据的访问活动,并将跟踪的结果记录在审计日志(audit log)中,根据审计日志记录可对潜在的窃密企图进行事后分析和调查6.事务管理和故障恢复事务管理和故障恢复主要是对付系统内发生的自然因素故障,保证数据和事务的一致性和完整性故障恢复的主要措施是进行日志记录和数据复制。在网络数据库系统中,分布事务首先要分解为多个子事务到各个站点上去执行,各个服务器之间还必须采取合理的算法进行分布式并发控制和提交,以保证事务的完整性。事务运行的每一步结果都记录在系统日志文件中,并且对重要数据进行复制,发生故障时根据日志文件利用数据副本准确地完成事务的恢复Oracle数据库的安全机制简介Oracle主要提供用户标识和鉴别、授权与检查、审计等系统级的安全性措施以及通过触发器灵活定义的用户级安全性措施1.Oracle的用户标识和鉴别Oracle系统预定义了SYS和SYSTEM两个用户。SYS用户拥有操作Oracle数据字典和相关的数据库对象的权限;SYSTEM用户拥有操作Oracle应用开发工具所使用的表的权限。SYS和SYSTEM用户分别用系统给定的口令登录。其他用户使用CREATE USER语句建立,同时用户的口令通过加密后存储在数据字典中。Oracle的授权与检查机制Oracle系统的权限包括系统权限和对象权限两类,采用非集中式的授权机制,即DBA负责授予与回收系统权限,每个用户授予与回收自己创建的数据库对象的权限Oracle也是将授权信息记录在数据字典的授权表中。Oracle的审计技术在Oracle中,审计分为语句审计、特权审计和模式对象审计。其中,语句审计只允许审计SQL语句,不对SQL语句引用的模式进行审计。特权审计只审计系统权限的使用。而模式对象审计则审计具体的数据操纵语言(DML,Data Manipulation Language)语句和制定模式的GRANT和REVOKE语句。特权审计和模式对象审计针对所有用户,通常由DBA设置在Oracle中,审计设置以及审计内容均存放在数据字典中。用户定义的安全性措施除了系统级的安全性措施外,Oracle还允许用户使用数据库触发器定义更复杂的用户级安全性措施。触发器定义后,也存放在数据字典中。用户每次执行特定的操作时都会自动触发对应的触发器,系统检查触发器中设定的执行条件是否符合,如不符合则不执行触发器中指定的操作综上所述,Oracle提供了多种安全性措施,提供了多级安全性检查。数据字典在Oracle的安全性授权和检查以及审计技术中起着重要作用。网络数据库安全性技术 随着互联网技术的日益普及,网络数据库已经得到了普遍应用,随之而来的则是网络数据库的安全性问题。特别是近几年,随着企业信息建设的不断深化,企业中涉及网络数据库安全方面的问题也越来越多。如何有效提高网络数据库的安全防御措施,建立一套行之有效的数据库安全防御机制,已经是企业需要首先解决的问题。网络数据库安全问题经常涉及到的是数据库数据的丢、非法用户对数据库的侵入等。针对以上两个方面的问题,应该采取具体的应对措施,以实现企业核心数据的安全防护。首先,针对网络数据库数据丢失的问题,应该着重以下几个方面的工作:1、服务器存储系统硬盘作为服务器数据存储的主要设备,在正常运行过程中,一点小的故障都有可能造成硬盘物理损坏,所以一般服务器存储系统要求采用 Raid磁盘阵列,以此来增强服务器存储系统的容错能力。2、数据备份机制建立一套行之有效的数据备份机制,是保障企业网络数据安全的又一项重要内容。对于一些非常重要的数据要运用其它设备时时执行 备份,定期定时做相对完备的备份方案。作为企业用户来说,由于数据量上的原因,在使用磁盘阵列的同时,还应考虑采用磁带机作为数据备份设备。在解决好数据丢失问题的基础上,需要考虑的则是如何应对网络数据库非法入侵的问题。网络技术的飞速发展,使各行业的信息化管理水平有了很大程度的提高,同时也带动了整个企业的管理效率的提高,但随之而来的问题是网络非法入侵者不断出现。入侵者的目的往往针对企业核心机密,或是对数据的蓄意破坏。对于企业网络数据库管理人员来说,如何在数据库本身以及在网络层面上采取有效措施,防止数据库系统的非法入侵,是一个非常艰巨的任务。制定数据库系统安全策略,主要分以下几个方面:1.数据库用户的管理,按照数据库系统的大小和数据库用户所需的工作量,具体分配数据库用户的数据操作权限,控制系统管理员用户账号的使用。2.建立行之有效的数据库用户身份确认策略,数据库用户可以通过操作系统、网络服务以及数据库系统进行身份确认,通过主机操作系统进行用户身份认证。 3.加强操作系统安全性管理,数据服务器操作系统必须使用正版软件,同时要有防火墙的保护。另外,根据实际需要只开放涉及业务工作的具体网络端口,屏蔽其它端口,这样可以在较大程度上防止操作系统受入侵。
Ⅵ 如何使Web用户安全的对数据库进行访问
sql多用户访问数据库其实就是事务并发,会引起如下问题:
1、脏读:一个事务读取到了另外一个事务没有提交的数据
事务1:更新一条数据
事务2:读取事务1更新的记录
事务1:调用commit进行提交
此时事务2读取到的数据是保存在数据库内存中的数据,称为脏读。
读到的数据为脏数据
详细解释:
脏读就是指:当一个事务正在访问数据,并且对数据进行了修改,而这种修改还没有提交到数据库中,这时,
另外一个事务也访问这个数据,然后使用了这个数据。因为这个数据是还没有提交的数据,那么另外一个
事务读到的这个数据是脏数据,依据脏数据所做的操作可能是不正确的。
2、不可重复读:在同一事务中,两次读取同一数据,得到内容不同
事务1:查询一条记录
事务2:更新事务1查询的记录
事务2:调用commit进行提交
事务1:再次查询上次的记录
此时事务1对同一数据查询了两次,可得到的内容不同,称为不可重复读。
3、幻读:同一事务中,用同样的操作读取两次,得到的记录数不相同
事务1:查询表中所有记录
事务2:插入一条记录
事务2:调用commit进行提交
事务1:再次查询表中所有记录
此时事务1两次查询到的记录是不一样的,称为幻读
详细解释:
幻读是指当事务不是独立执行时发生的一种现象,例如第一个事务对一个表中的数据进行了修改,
这种修改涉及到表中的全部数据行。同时,第二个事务也修改这个表中的数据,这种修改是向表
中插入一行新数据。那么,以后就会发生操作第一个事务的用户发现表中还有没有修改的数据行,
就好象发生了幻觉一样。
处理以上隔离级别的问题,采用如下方是:
事务隔离五种级别:
TRANSACTION_NONE 不使用事务。
TRANSACTION_READ_UNCOMMITTED 允许脏读。
TRANSACTION_READ_COMMITTED 防止脏读,最常用的隔离级别,并且是大多数数据库的默认隔离级别
TRANSACTION_REPEATABLE_READ 可以防止脏读和不可重复读,
TRANSACTION_SERIALIZABLE 可以防止脏读,不可重复读取和幻读,(事务串行化)会降低数据库的效率
以上的五个事务隔离级别都是在Connection接口中定义的静态常量,
使用setTransactionIsolation(int level) 方法可以设置事务隔离级别。
如:con.setTransactionIsolation(Connection.REPEATABLE_READ);
注意:事务的隔离级别受到数据库的限制,不同的数据库支持的的隔离级别不一定相同
1 脏读:修改时加排他锁,直到事务提交后才释放,读取时加共享锁,读取完释放事务1读取数据时加上共享锁后(这 样在事务1读取数据的过程中,其他事务就不会修改该数据),不允许任何事物操作该数据,只能读取,之后1如果有更新操作,那么会转换为排他锁,其他事务更 无权参与进来读写,这样就防止了脏读问题。
但是当事务1读取数据过程中,有可能其他事务也读取了该数据,读取完毕后共享锁释放,此时事务1修改数据,修改 完毕提交事务,其他事务再次读取数据时候发现数据不一致,就会出现不可重复读问题,所以这样不能够避免不可重复读问题。
2 不可重复读:读取数据时加共享锁,写数据时加排他锁,都是事务提交才释放锁。读取时候不允许其他事物修改该数据,不管数据在事务过程中读取多少次,数据都是一致的,避免了不可重复读问题
3 幻读问题:采用的是范围锁RangeS RangeS_S模式,锁定检索范围为只读,这样就避免了幻影读问题。
Ⅶ ASP网站的ACCESS数据库安全设置
假设你的空间物理路径为d:\web\abc\root,你的站点根目录放在abc目录下,名为wwwroot,数据库目录为abc目录下的databases文件夹,设置方法如下:
首先,我们打开conn.asp,找到DBPath = "/KS_Data/KesionCMS4.mdb" 'ACCESS数据库的文件名,请使用相对于网站根目录的的绝对路径
将它修改为DBPath = "d:/web/abc/root/databases/KS_Data/KesionCMS4.mdb" 'ACCESS数据库的文件名,请使用相对于网站根目录的的绝对路径
然后找到ConnStr = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(DBPath)这一句,
将它改为ConnStr = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & DBPath
如果需要采集,采用同样方法修改。
如果有以下文件,也需要修改
将/admin/KS.Database.asp文件中的“Server.MapPath(DBPath)”、“Server.MapPath(CollectDBPath)”、“Server.MapPath(strCurDir)”全部搜索出来并且分别替换为“DBPath”、“CollectDBPath”、“strCurDir”。这是后台"备份/压缩数据库"页面的数据库连接。
修改后保存文件,打开网站和后台试试看吧!
Ⅷ 请问怎么进入自己网站的数据库
1、点击服务器菜单栏找到数据库软件,MySQL-Front软件为例。
Ⅸ asp网页如何访问数据库
在asp动态语言页面中连接数据库是通过asp内部的ADO组件通过ODBC完成。
1、首先应创建 Connection 对象的实例。
下面的脚本创建 Connection 对象
<%
'Create a connection object
Set cn = Server.CreateObject("ADODB.Connection")
'Open a connection; the string refers to the DSN
%>
2、接着打开数据库连接:
cn.Open "FILEDSN=MyDatabase.dsn"
注意:无论在等号 (=) 之前还是之后,DSN 字符串都不能包含空格。
在这种情况下,Connection 对象的 Open 方法引用基于 DSN 的文件,其中包含关于数据库的位置和配置信息。也可以不引用 DSN,直接显式引用供应程序、数据源、用户 ID 和密码。
3、连接过程:
<%
Set cn = Server.CreateObject("ADODB.Connection") '创建数据库连接对象
Set rsCustomers = Server.CreateObject("ADODB.Recordset") '创建数据库查询对象
cn.Open "FILEDSN=SQLlink.dsn" '打开数据库
strSQL = "SELECT username,password FROM [myDatabase].[dbo].[user] where username='guying'"
rsCustomers.Open strSQL, cn '运行SQL语句
%>
4、处理数据库返回数据
Set username1= rsCustomers("username") '获取username字段的返回结果
Set password1= rsCustomers("password") '获取password字段的返回结果
Do Until rsCustomers.EOF
Response.Write username1 & " " & password1 & "<BR>"
rsCustomers.MoveNext
Loop '通过循环获取所有返回记录
Ⅹ 如何保证计算机网络数据库的安全
数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。
安全性问题不是数据库系统所独有的,所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放,而且为许多最终用户直接共享,从而使安全性问题更为突出。 系统安全保护措施是否有效是数据库系统的主要指标之一。 数据库的安全性和计算机系统的安全性,包括操作系统、网络系统的安全性是紧密联系、相互支持的。
实现数据库安全性控制的常用方法和技术有:
(1)用户标识和鉴别:该方法由系统提供一定的方式让用户标识自己咱勺名字或身份。每次用户要求进入系统时,由系统进行核对,通过鉴定后才提供系统的使用权。
(2)存取控制:通过用户权限定义和合法权检查确保只有合法权限的用户访问数据库,所有未被授权的人员无法存取数据。例如C2级中的自主存取控制(I)AC),Bl级中的强制存取控制(M.AC)。
(3)视图机制:为不同的用户定义视图,通过视图机制把要保密的数据对无权存取的用户隐藏起来,从而自动地对数据提供一定程度的安全保护。
(4)审计:建立审计日志,把用户对数据库的所有操作自动记录下来放人审计日志中,DBA可以利用审计跟踪的信息,重现导致数据库现有状况的一系列事件,找出非法存取数据的人、时间和内容等。
(5)数据加密:对存储和传输的数据进行加密处理,从而使得不知道解密算法的人无法获知数据的内容。