洛陽浩科網(wǎng)絡(luò)公司分享：隨著互聯(lián)網(wǎng)信息化和大數(shù)據(jù)時代的到來，電子商務(wù)平臺以其高效、便捷、成本低、個性化等特性引領(lǐng)時代潮流。

企業(yè)可以開展無實體店經(jīng)營，個人足不出戶即可博覧國內(nèi)乃至國際一切商品，并進(jìn)一步完成購買環(huán)節(jié)。

但基于互聯(lián)網(wǎng)的開放性和虛擬性特點，電子商務(wù)網(wǎng)站建設(shè)安全問題就像一個隱形“毒瘤”，時刻威脅著企業(yè)和用戶的安全利益，并制約著電子商務(wù)穩(wěn)健的進(jìn)一步發(fā)展。

可見，企業(yè)在建設(shè)電子商務(wù)網(wǎng)站時，不僅要關(guān)注網(wǎng)站的實用性和美觀度，更要注重安全問題。

電子商務(wù)網(wǎng)站的數(shù)據(jù)庫是網(wǎng)站的核心信息，比如交易記錄、商業(yè)數(shù)據(jù)等。

因此，如何保證電子商務(wù)網(wǎng)站建設(shè)中的數(shù)據(jù)庫安全就成為開發(fā)設(shè)計人員首要解決的問題。

電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫的安全隱患電子商務(wù)網(wǎng)站的開放性特征，使得網(wǎng)站數(shù)據(jù)庫本身就存在著很大安全隱患，常見電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫安全隱患如下。

1.基礎(chǔ)硬件的安全隱患電子商務(wù)這種商務(wù)模式在我國發(fā)展歷程短，電子商務(wù)技術(shù)尚處于開發(fā)與運營的初期階段，硬件設(shè)施還依然是電子商務(wù)網(wǎng)站建設(shè)的“短板”。

各種硬件條件短缺、配套資金匱乏等因素使得電子商務(wù)網(wǎng)站建設(shè)過程中使用的硬件設(shè)施不夠先進(jìn)，硬件安全性存在較多漏洞。

導(dǎo)致電子商務(wù)網(wǎng)站很容易遭受不法分子的惡意侵害，網(wǎng)站中的數(shù)據(jù)資料遭受竊取或篡改。

2.數(shù)據(jù)庫登錄方式的安全隱患為便于后期對電子商務(wù)網(wǎng)站數(shù)據(jù)庫的訪問，電子商務(wù)網(wǎng)站建設(shè)時一般設(shè)置兩種登錄數(shù)據(jù)庫的方式:(1) W indow身份驗證模式；(2)數(shù)據(jù)庫直接訪問，即通過電子商務(wù)網(wǎng)站數(shù)據(jù)庫對網(wǎng)站內(nèi)容進(jìn)行瀏覽。

但第二種方式在使用時存在安全風(fēng)險。

多數(shù)用戶在登錄時習(xí)慣選擇系統(tǒng)默認(rèn)用戶名，而后為了方便進(jìn)入網(wǎng)站數(shù)據(jù)庫又選擇“記住密碼”。

這就增大了網(wǎng)站后臺管理系統(tǒng)的安全隱患，把網(wǎng)站前臺用戶名和密碼的安全管理也要負(fù)責(zé)在內(nèi)。

另外，很多用戶完全直接選擇數(shù)據(jù)庫默認(rèn)的用戶名和密碼會導(dǎo)致數(shù)據(jù)庫外泄。

眾所周知，“x”是 SQL Server數(shù)據(jù)庫的系統(tǒng)默認(rèn)賬號，還是一個超級用戶賬號，就常常被受到攻擊。

3.數(shù)據(jù)庫結(jié)構(gòu)的安全隱患電子商務(wù)網(wǎng)站建設(shè)前期，開發(fā)者與設(shè)計人員制定的數(shù)據(jù)庫設(shè)計方案不夠完善，一般體現(xiàn)在以下三個方面:(1)默認(rèn)了固定、有規(guī)律的數(shù)據(jù)庫文件的存放位置。

比如 Access數(shù)據(jù)庫文件一般放在Web目錄中，這個規(guī)律就會被不法分子利用來查找并下載數(shù)據(jù)庫文件，導(dǎo)致網(wǎng)站的數(shù)據(jù)被竊取。

(2)數(shù)據(jù)表和數(shù)據(jù)字段的非自定義命名。

有的數(shù)據(jù)庫表和數(shù)據(jù)字段名直接使用關(guān)鍵詞Admi、U9r等命名，不利于數(shù)據(jù)的安全。

(3)數(shù)據(jù)表無法防止被重命名。

由于開發(fā)人員沒有制定對策對數(shù)據(jù)表重命名進(jìn)行前后綴處理，可能會導(dǎo)致出現(xiàn)安全問題。

1.完善配套的軟硬件設(shè)施在電子商務(wù)網(wǎng)站建設(shè)中，一方面要及時更新?lián)Q代硬件設(shè)施，另一方面要完善軟件設(shè)施。

一般常從以下幾方面完善軟件設(shè)施:(1)及時對操作系統(tǒng)打補丁，減少違規(guī)操作；(2)采用數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、殺毒軟件及時等多種技術(shù)進(jìn)行安全防范；(3)在電子商務(wù)網(wǎng)站前后臺均對數(shù)據(jù)庫進(jìn)行加密；(4)采用復(fù)雜口令或生物特征等密碼驗證的方式進(jìn)行登錄驗證，并對其用戶名和密碼進(jìn)行無痕登錄安全保護(hù)；(5)完善和更新數(shù)據(jù)庫系統(tǒng)軟件；(6)設(shè)置虛擬接入端口，并進(jìn)行動態(tài)變換。

2.自定義特殊賬號管理數(shù)據(jù)庫系統(tǒng)電子商務(wù)網(wǎng)站建設(shè)期間，數(shù)據(jù)庫安全控制部門務(wù)必要重視特殊性賬號管理工作，提升特殊性賬號的安全性。

例如:前面提到的“a”賬號就是一個不可被刪除、無法被修改的特殊賬號。

并且數(shù)據(jù)庫管理人員后期為了數(shù)據(jù)庫系統(tǒng)的需要，也會建立與“x”同樣功能的賬號，但“x”這類賬號本身安全性能低，這就需要技術(shù)人員特別重視、特殊管理，做到既要保證提升工作效率，又要避免出現(xiàn)數(shù)據(jù)庫軟件泄露的安全事故。

3.設(shè)計科學(xué)規(guī)范的數(shù)據(jù)庫結(jié)構(gòu)建議從以下幾個方面設(shè)計數(shù)據(jù)庫結(jié)構(gòu):(1)更改默認(rèn)下的數(shù)據(jù)庫文件存儲位置。

如 SQL SERVER系統(tǒng)，DATA文件夾是默認(rèn)路徑下的文件夾，開發(fā)人員可更改存放路徑和文件夾，而后修改與數(shù)據(jù)庫連接的相關(guān)文件信息。

(2)使用0DBC數(shù)據(jù)源。

ODBC的優(yōu)點是用它生成的應(yīng)用程序與數(shù)據(jù)庫或數(shù)據(jù)庫引擎無關(guān)，以統(tǒng)一的方式處理所有的數(shù)據(jù)庫，隔離了數(shù)據(jù)庫的實現(xiàn)細(xì)節(jié)。

數(shù)據(jù)庫設(shè)計人員在具備管理和維護(hù)的權(quán)限下，配置新的0DBC數(shù)據(jù)源，合理放置好更改后的數(shù)據(jù)庫文件的存儲位置。

(3)采用非常規(guī)命名方法更改數(shù)據(jù)庫文件名。

可為數(shù)據(jù)庫主文件取復(fù)雜類姓名，并把它存放在較深層的路徑下。

如網(wǎng)上服飾店的主文件名，不要起諸如“ m clothing.mdf”、“hn，mdf"或“des，mdf之類的名字，再把它放在如“血cled359Aick136bt"之類的較深層的路徑下；k數(shù)據(jù)庫表和字段的命名。

可采用字母和數(shù)字組合命名的方式為數(shù)據(jù)庫表加上前后綴。

4.加強網(wǎng)站后臺管理系統(tǒng)的安全性可從以下幾方面著手:(1)不要在安全性較低的網(wǎng)頁上放置數(shù)據(jù)庫后臺管理系統(tǒng)的鏈接，采用非常規(guī)命名法對首頁文件命名；(2)使用復(fù)雜的用戶名和口令。

把后臺管理數(shù)據(jù)的用戶名和口令封裝在服務(wù)器中，權(quán)限放置其低；(3)設(shè)置Session變量自動分配不同頁面中用戶權(quán)限的 Sessionid；(4)即在主頁面有身份驗證，其他頁面也要有身份驗證。

先判斷是否從已驗證頁面跳轉(zhuǎn)過來，否則不能進(jìn)入當(dāng)前頁面。

5.建立數(shù)據(jù)庫備份和恢復(fù)機制數(shù)據(jù)庫資源是電子商務(wù)網(wǎng)站運行的“血液”，建立加強數(shù)據(jù)庫備份和恢復(fù)機制是提升電子商務(wù)網(wǎng)站數(shù)據(jù)庫安全性能的重中之重。

一旦網(wǎng)站數(shù)據(jù)庫資源遭到安全問題，可以第一時間利用備份資源找到原始數(shù)據(jù)。

為此就要求對電子商務(wù)網(wǎng)站的數(shù)據(jù)庫進(jìn)行定期備份。

數(shù)據(jù)備份與恢復(fù)機制是對數(shù)據(jù)庫管理機制的有效補充和完善。

以 SQL SERVER數(shù)據(jù)庫為例，數(shù)據(jù)備份和恢復(fù)常采用備份數(shù)據(jù)庫中，mdf和.Hf文件或者附加數(shù)據(jù)庫中.mdf和.f文件的方式。

此外，務(wù)必要對數(shù)據(jù)庫賬戶進(jìn)行嚴(yán)格的加密處理。

總之，建設(shè)電子商務(wù)平臺的人員可從電子商務(wù)網(wǎng)站數(shù)據(jù)庫的軟硬件設(shè)施、數(shù)據(jù)庫結(jié)構(gòu)、數(shù)據(jù)庫后臺管理、數(shù)據(jù)庫備份等幾方面著手，再結(jié)合企業(yè)實際綜合使用這些對策，定可以為使用電子商務(wù)平臺的相關(guān)者消除一些不必要的安全隱患，從而使電子商務(wù)網(wǎng)站建設(shè)向更高、更健康的方向發(fā)展。

4.網(wǎng)站后臺管理系統(tǒng)的安全隱患后臺管理系統(tǒng)對于前臺網(wǎng)頁的穩(wěn)定運行起著至關(guān)重要的作用，在網(wǎng)站運營過程中，后臺數(shù)據(jù)庫系統(tǒng)出現(xiàn)安全事故會導(dǎo)致整個電子商務(wù)網(wǎng)站平臺瘓，為此一定要確保數(shù)據(jù)庫后臺管理系統(tǒng)工作時處在安全穩(wěn)定的環(huán)境。

但由于目前國內(nèi)電子商務(wù)平臺尚處于發(fā)展初期，數(shù)據(jù)庫后臺管理系統(tǒng)在設(shè)計時還很難克服以下問題:(1)數(shù)據(jù)庫開發(fā)設(shè)計人員水平受限，將數(shù)據(jù)庫后臺管理系統(tǒng)的某些功能設(shè)置放在網(wǎng)站首頁，直接暴露了數(shù)據(jù)庫后臺管理系統(tǒng)的地址。

這是因為技術(shù)人員通常會采用web來對數(shù)據(jù)庫進(jìn)行訪問、管理及維護(hù)，從而保證網(wǎng)址首頁能夠正常穩(wěn)定地運行。

(2)整個數(shù)據(jù)庫后臺系統(tǒng)有且只有首頁需要對管理員的權(quán)限進(jìn)行驗證，后續(xù)所有的管理界面均不再需要驗證指令。

因此攻擊者只需直接輸入URL地址，就可以繞過驗證進(jìn)入到后臺管理之中直接對數(shù)據(jù)庫進(jìn)行訪問管理，嚴(yán)重危及數(shù)據(jù)庫的安全5.服務(wù)器地址設(shè)計的安全隱患。

在電子商務(wù)網(wǎng)站建設(shè)初期要設(shè)計服務(wù)器地址，但部分設(shè)計人員對服務(wù)器設(shè)計工作不夠重視。

(1)數(shù)據(jù)庫用戶與用戶名的連接問題容易出現(xiàn)文件內(nèi)容泄露等現(xiàn)象；(2)電子商務(wù)網(wǎng)站設(shè)計部門工作不夠嚴(yán)謹(jǐn)，像諸如源代碼的撰寫工作等，如果設(shè)計不夠嚴(yán)謹(jǐn)將會導(dǎo)致電子商務(wù)網(wǎng)站癱瘓。