Web数据库指在互联网中以Web查询接口方式访问的数据库资源。促进Internet发展的因素之一就是Web技术。这是小篇为大家整理的web数据库技术论文,仅供参考!
Web数据库安全技术研究篇一
摘要:本文论述了各种Web服务器和客户端容易遭受的攻击,并就此给出了一些解决安全问题的措施。
关键词:Web数据库 威胁 攻击 安全防范
1、前言
基于B/S架构的Web数据库管理系统的安全性问题不仅与数据库的自身安全有着紧密联系,也与互联网的开放型网络有着密切的联系。互联网本身就是一个不可信网络,在互联网上充斥着各种安全威胁。而数据库安全也是一个复杂的应用问题,数据库管理员需要采用多种策略保证数据库的安全。Web数据库管理系统作为数据库管理系统的一种实际应用,安全问题是关系到整个管理系统的完整性和保密性以及可用性的关键因素。
2、常见的安全威胁和攻击
计算机网络发展到今天,已经发生了翻天覆地的变化。黑客攻击的方式从开始的单一式攻击已经发展到几乎覆盖所有的操作系统和信息系统,黑客在网络上活动的频率也在增加。他们既可以利用信息系统自身的漏洞来发动攻击,也可以利用强行的进攻方式发动攻击,导致服务瘫痪,文件损坏等。
从黑客的攻击方式上可以把网络安全威胁分为如下几种:窃取机密攻击、非法访问、恶意攻击、计算机病毒、不良信息资源和信息战等。常见的攻击方式分为缓冲区溢出攻击、硬件设备破坏、网页篡改等。通过向程序的缓冲区写入超过长度的内容造成溢出,从而破坏程序的堆栈,使程序转入其他的位置执行未知指令,达到攻击的目的。这种攻击大多可以使程序运行失败或者系统崩溃重启,严重的话可以通过执行非授权指令取得系统特权执行非法操作。
3、Web数据库安全技术分析
3.1JavaScript的安全防范
JavaScript是Netscape公司设计的一系列HTML语言扩展,它增强了HTML语言的动态交互能力,利用自身优势把一些处理操作转移在客户浏览器中,减轻了服务器的负担。它基于对象和事件驱动。通过嵌入或者调入到HTML实现对浏览器的控制,如打开和关闭窗口、操作表格元素、调整浏览器设置等等。它具有以下几个特点:
(1)基于对象:JavaScript是一种基于对象的语言,带有面向对象的特性。尽管与C++、Java、C#这样成熟的面向对象语言相比,JavaScript的功能要弱一些,但对于它的预期用途而言,JavaScript的功能已经足够大了。自身可以运用自带的对象操作浏览器,从而实现与HTML语言的动态交互,让网页更生动多变。
(2)简单性:JavaScript是解释性脚本语言,它的开发工具多种多样,采用小程序段实现编程。它的基本结构与C、C++、Java等主流语言类似,学习容易,而且不需要编译。程序运行时逐行解释,因此调试JavaScript不是很容易。它的数据类型定义是弱类型,并未使用严格的数据定义方式,由运行时决定数据类型。
(3)动态性:JavaScript是动态的,是因为它可以直接对用户做出的动作进行反应,而不需要经过服务程序。用户对页面或者窗口做出某些操作(鼠标点击按钮,拖动标题栏等)之后,就会触发一个“事件响应”,通过它调用预先定义的脚本函数,从而达到操作的目的。
(4)相对安全性:JavaScript是一种相对安全的语言,它不允许修改本地的硬盘,不允许对网络文档进行修改和删除,只能通过浏览器实现信息浏览或动态交互,从而有效地防止数据的丢失。
(5)跨平台性:JavaScript依赖于浏览器,目前主流的浏览器都会对它进行支持,尽管有些对象在各个浏览器上稍有不同。JavaScript只需要一个文本编辑器就可以进行开发,无需Web服务器,可以利用自己的电脑进行处理。
同时JavaScript又是一门有争议的语言。虽然它是很简洁的脚本语言,可是安全问题不容小觑。JavaScript能够获得用户本地磁盘和网络盘上的目录列表。这既代表了信息泄露和隐私侵犯,又代表了安全风险,可以通过取得机器的相关组织信息从而设计针对机器的入侵方法并进行攻击破坏。它又能监视用户在某个时间段内访问的网页,捕捉URL并将它们上传到Internet上的指定地点,虽然这个过程需要用户的交互,不过欺骗可以伪装成合法的方式进行。用户也可以被这种手段欺骗,从而把本地重要的数据文件上传到指定主机。如果系统主要是依赖口令文件进行访问的话,这将会面临很大的安全风险。
3.2Cookies的安全防范
Cookies是Netscape公司开发的一种机制,用来改善HTTP的无状态性。它是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或者从客户端的硬盘读取数据的一种技术。Cookies是一段很小的信息,通常只有一个短短的章节标记那么大。它是在第一次浏览网站时Web服务器送到用户浏览器,然后保存在客户端的硬盘里。它可以记录用户在网站上输入的ID、密码及其访问历史、停留时间等信息。当你再次来到该网站时,网站通过读取Cookies,自动完成个人验证身份的输入操作,达到方便访问的效果。从本质上讲,它可以看作是你的身份证。
Cookies不能执行代码,也不会传送病毒,更不能窃取计算机里面的信息,它只能由提供它的服务器来读取。保存的信息片断以“名-值”对的形式储存,一个“名-值”对仅仅是一条命名的数据。Cookies中的内容涉及众多敏感信息,所以大多数Web服务器都会对Cookies的内容进行加密之后发送给用户,之后读取时Web服务器也有相应的解密程序。因此一般用户看来只是一些毫无意义的字母数字组合,只有服务器才知道它们真正的含义。
3.3数据库安全及其防范
当今数据库管理系统大多都是关系型数据库管理系统,如SQLServer、Oracle、IBMDB2、Sybase等。虽然他们的命令和操作等具体细节上存在某些差异,可是大概的原理与实现其安全性的技术存在共同的特性。
数据库安全控制是指为保证数据库安全而采取的数据库安全防护措施。数据库的安全策略是涉及信息的高级指导,这些策略根据用户需要、安装环境、建立规则和法律等方面的限制来制定。
数据库系统的安全需求分为三个方面,数据库的完整性、保密性和可用性。数据库的完整性又分为物理完整性和逻辑完整性。物理完整性是指数据库不受到物理故障的影响,并在灾难性毁坏时可能进行重建和恢复原有的数据库。而逻辑完整性是保证数据库在语义与操作完整性,即要保证数据存取时和并发操作时满足完整性约束;保密性是指数据库中的数据不允许未经授权的用户存取数据,访问数据库的数据要进行身份认证,并只能访问所允许访问的数据,同时,还要对用户的访问进行跟踪和审计,还要防止认证后的用户通过访问低密级的数据推理得到高密级的数据;数据库的可用性是指既要保证授权用户可以正常对数据库中的数据进行各种授权操作,又要保证效率上不受太大的影响。这三个方面用通俗的语言来描述就是数据要正确,用户只能存取应该存取的数据。
数据库安全还经常受到其它威胁,比如推理通道和隐秘通道的威胁。推理通道就是从已知的信息推出新的信息,当用户能够在低安全级别下进行数据拼凑从而推导出在高安全级别保护下的数据时,推理功能便构成了对数据库的严重威胁。隐秘通道是指在实施强制访问控制的多级安全系统中,保密信息被一些高安全级别用户通过非常规手段泄露给无权访问的,较低安全级别的用户。推理通道和隐蔽通道是数据库中两种威胁非常大的信息泄露途径。
数据库的访问方式也会产生一些安全威胁。Web数据库的安全还与Web、HTTP协议安全、应用程序安全、代码安全等有关。Web数据库由于代码不规范或者程序设计得不严格而经常遭致SQL注入攻击等。
4、结语
由于Web数据库安全涉及的技术范围包括网络安全和数据库安全等技术,本文特针对几个Web数据库客户端与服务器端的常用技术进行探讨,指出存在的危险以及缺陷,并且给出了这些安全问题的一些解决方法,使得Web数据库搭载平台更安全,这些细微之处如果处理不当有时会使整个系统遭受攻击。
基于Web特色数据库论文检索系统的研发篇二
[摘要]依据特色数据库建设理论,使用ASP、md5加密等技术,使用SQLServer部署特色数据库论文检索系统并在建设有高职特色的学院论文数据库系统进行有意义的探索研究。
[关键词]特色数据库ASP检索系统B/S高职
中图分类号:TP311.52文献标识码:A文章编号:1671-7597(2009)1210081-01
一、引言
随着网络技术、电子技术、数字化技术的广泛应用,图书馆建设数字馆藏的速度大大加快。面对海量的数据信息建设大而全的数据库无论从资金上还是从人力上已经不太现实,建设有针对性有专题目的的专业特色数据库已经是图书馆信息建设的必然选择。特色数据库是指充分反映本地区本单位资源特色的信息总汇,具有鲜明的专业学科特色、区域经济特色、地方文化特色和馆藏特色。加速实现图书馆信息资源数字化,已成为图书馆数字化建设发展的核心与关键。
近几年许多高校已经建立起各自特色数据库系统,但在绝大多数高职院校中还没有进行相应的建设,我们结合高职学院现状进行特色数据库论文检索系统的探索建设,最终选择教职工学术论文建设数据库,选择的理由有以下几个方面:首先,对于我院教职工所发表学术论文的收录我们具有得天独厚的优势,有利于准确、全面的建库。其次,收录信息资源是图书馆信息化建设新使命,进行电子资源建设也是图书馆的发展方向。再次,建设我院教职工论文数据库有利于我们进行后续数据挖掘,分析我院优势学科和优势专业,有利于学院的专业建设决策。
二、技术简介
(一)ASP技术。ASP是Microsoft提出的基于服务器端的脚本执行环境,用它创建的应用程序可跨平台运行,能将VBscript,JavaScript,Perl等多种语言的语句嵌入HTML页面,使它们在服务器端执行。ASP提供了一个在服务器端脚本编程的开发环境,它有利于创建动态的、交互的web应用程序,执行速度快。ADO对象对数据库的操作功能强大、速度快,而且可将多种脚本语言嵌入到HTML语言中,从而具有很强的数据处理能力和动态页面生成能力。
(二)B/S结构。B/S模式又称B/S结构。它是随着Internet技术的兴起,一种以Web技术为基础的新型系统平台模式。在这种结构下,用户工作界面是通过IE浏览器来实现的。B/S模式最大的好处是运行维护比较简便,能实现不同的人员,从不同的地点,以不同的接入方式访问和操作共同的数据。
(三)ODBC。ODBC(开放数据库互连)是微软公司开放服务结构中有关数据库的一个组成部分,它建立了一组规范,并提供了一组对数据库访问的标准API。
(四)MD5。MD5的全称是Message-digest Algorithm 5(信息-摘要算法),在90年代初由MIT Laboratory for Computer Science和Ronald L.Rivest开发出来,经MD2、MD3和MD4发展而来。它的作用是让大容量信息在用数字签名软件签署私人密钥前被“压缩”成一种保密的格式。不管是MD2、MD4还是MD5,它们都需要获得一个随机长度的信息并产生一个128位的信息摘要。
三、设计思想
该系统采用B/S架构结合SqlServer数据库设计开发,服务器端安装Web和数据库服务器,客户端只需安装浏览器即可,数据库接口采用开放式数据库互连ODBC,用户首先通过浏览器访问Web服务器,Web服务器通过ODBC连接到SQL server数据库,通过SQL语言通数据库进行数据交换,取得用户所需要的数据,再通过Web服务器将数据和HTML代码一同返回给用户的浏览器,浏览器再将代码进行解释,最终将查询结果按照事先安排好的效果返回给用户。
四、系统结构
本系统主要分为用户界面和管理员界面,具体结构如图1所示:
图1系统模块流程图
五、设计与实现
使用ASP技术进行开发,数据库采用SqlServer2000作为后台数据库并部署于集成IIS的Windows2003企业版操作系统的塔式服务器中。
在系统的安全性方面考虑使用md5加密算法,在管理员登陆界面上使用如下语句将系统传递过来的adminpwd字符串利用md5.asp页面中的算法进行加密:“adminpwd = md5(request("adminpwd"))”通过该加密算法保证了数据库的安全性,黑客入侵数据库后也仅仅拿到加密后的字符串无法得出管理员的密钥信息。
在数据库收录论文方面,教师们上传的电子稿大都是Word文档,为了统一和便于阅读,我们使用Adobe公司的Acrobat Professional 7.0版将论文由Office的Doc文档转成PDF格式文档并进行安全性设置,更适用于论文的网络在线阅读。PDF文档格式是较为通用的网络文档格式之一,其优点有四:一是版式较为柔和美观;二是PDF文档具有翻页和书签导航功能,便于机上阅读;三是文件的大小较之同样的Word文档大幅度压缩,更加便于在线阅读;四是PDF文档具有一定的安全性,利用Acrobat相应的软件功能可进行文档安全性设置,例如:禁止打印、禁止复制、禁止更改等。
六、结束语
特色数据库论文检索系统自2007年起进行建设,经过反复实践修改,最终成功部署到HP塔式服务器上运行,到目前为止收录学院公开发表论文827篇,上传未发表论文47篇,查询下载次数为9871人次,活跃了教职工学术交流的同时为学院专业定位和优势挖掘提供数字依据,也为下一步图书馆电子资源的建设和发展打下了坚实的基础。
立项课题:淄博职业学院“岗位创新・百万行动”课题
课题编号:2006GY01
参考文献:
[1]赵连朋,数字图书馆之特色数据库建设――渤海大学数字图书馆学位论文数据库管理系统的研发,中国图书情报科学,2004(4):9-13.
[2]张淼,特色数据库建设中信息发布的研究与实践,图书馆学研究,2004(9):4-5,15.
[3]曲金丽,论高校图书馆自建特色数据库建设,石河子科技,2005(4):23-24.