电子商务网站后台数据库开发研究

摘要：随着国家科技的飞速发展，网购的兴起，电商网站也得到了快速发展，成为新时期的主要商业形式之一。但是，在电子商务网站后台数据库的开发过程中，经常会出现各类严重的安全问题，导致电子商务网站的总体质量很难提升，发展效果不甚理想。文章从电子商务网站后台数据库开发设计的角度，着重分析了在此过程中可能存在的安全隐患，并结合实际给出了相应的防范对策。

关键词：电子商务网站；数据库安全问题；对策

随着我国移动互联网信息化时代的进一步到来和互联网科技的进步以及飞速发展，越来越多的电子商务企业和消费者借助于电子商务平台成功开展了线上的交易，消费者足不出户就可以在电商的网站上享受到全球的服务和购买商品，电商平台这种方便高效、低成本、个性化的经营特点引领着互联网商业的潮流。但是电商平台伴随着快速的经济发展诸多的问题都呈现了出来，不仅严重威胁到了交易双方的消费者利益，还严重制约了电子商务社会和经济的进一步健康发展。因此，企业在对电子商务企业网站的后台数据库的开发和设计过程中，一定要特别注重安全防范，设计的人员一定要认真研究制定数据库安全防范管理制度，创新安全防范管理的方式，树立正确的数据库管理安全观念，确保后台数据库的使用安全性，为参与交易的双方和消费者营造安全的使用电子商务企业网站的环境。

1电子商务网站安全内容

电子商务网站融合了计算机网络技术、通信网络技术和计算机网络技术于一体，以Internet技术为其基础的技术平台，互动性、开放性、广泛性为其技术的显著特点。由于其技术的开放性与互动的广泛性，必然导致企业面临各种安全的问题，如个人信息遭到泄露或被恶意篡改、欺骗、抵赖等。所以，网络安全的问题已逐渐成为企业发展一个可以受信赖的电子商务网站发展环境的一大瓶颈。网站安全管理主要包括了计算机电子商务网络的基础设备、网络信息系统和数据库安全，而安全信息系统管理的一个基本要点就是对当前计算机电子商务网络本身和运营中可能存在的安全技术威胁和问题有效地进行了管理，采取了相应的安全管理措施和解决方案，提升了电子商务计算机网络的安全级别。电子商务计算机网站信息系统开发和运营过程中的后台数据库安全管理主要包含在对计算机的网络安全中，属于对电子商务计算机网络安全的信息系统管理和保护范畴，因此，要想进一步加强对电子商务企业网站产品开发过程中的数据库安全的管理，需要针对当前计算机网络安全的特点进行整体性和重点的把握，掌握相关的安全识别技术和风险管理技术，提升电子商务网站后台数据库的安全管理效率。

2电子商务网站后台数据库的安全问题

2.1登录数据库环节产生的安全问题。开发电子商务网站后台数据库前，首先要设置登录数据库的身份验证模式。身份验证登录模式主要是用来验证确认其是否是合法登录用户。SQLServer确认用户的登录以及账户和密码的设置正确性，验证其登录用户是否已经拥有通过网络连接使用SQLServer的访问权限。SQLServer数据库提供了两种用来确认已经登录用户的身份验证登录模式，即一种是windows身份验证的模式，另一种是混合身份验证的模式。用户登录以后，网站可能会出现数据库系统设置默认用户账号的异常情况，能够直接让用户的账号在其后续的数据库访问中能够进行再次的访问。但实际很多网站数据库在建设的过程中，为了方便用户网站的后续使用，没有了设置繁琐的用户名和密码，网站信息以后很容易就发生了数据被删除或者修改的异常现象，从而直接导致了网站数据库在后续建设和使用的环节中可能会出现不同程度的安全性和经济损失。另外，很多网站用户直接选择使用数据库系统默认的身份验证用户名和登录密码，这样会直接导致网站数据库的外泄，例如：“sa”不仅是SQLServer数据库的管理系统设置的默认账号，还是一个超级数据库用户的账号，常常导致网站遭受非法的黑客攻击。2.2数据库结构产生的安全问题。电子商务企业网站在数据库开发的过程中，由于网站开发者与数据库设计工作人员共同制定的网站数据库系统结构设计方案不是很完善，容易出现导致网站数据库的结构改变，产生安全问题。一般数据库表现为以下三个主要的方面：（1）数据库使用网站默认的固定数据库存放位置存储进入网站数据库的文件。比如SQLServer数据库的文件一般都是存放在data目录中，这个数据储存规律可能会被一些不法分子恶意利用来非法查找并恶意下载进入网站数据库的文件，导致网站的信息系统数据被恶意窃取。（2）网站数据库列表无法有效防止被恶意重命名。由于开发设计的人员没有充分利用各类关键词的组合对数据表名中的字段进行前后缀的处理，可能会直接导致数据出现各种安全问题。（3）对数据表名字段的非自定义关键词命名。有些网站对数据表中的字段名直接使用关键词定义命名，或者没有全面组织开展密码等数据字段名与密码相关的工作，不利于提高网站数据的使用安全性。2.3网站后台管理系统产生的安全问题。后台设计和管理的系统对于电子商务网站数据库前台的稳定正常运行起着至关重要的安全保障作用，而在整个电子商务数据库网站实际管理系统开发的正常运行过程中，经常可能会因为网站后台管理系统的安全出现问题，无法真正有效的维护和保障电子商务网站数据库整体的稳定和安全性。电子商务网站的后台设计和管理的系统在开发设计时很难有效克服以下问题：比如，部分电子商务网站开发设计人员由于技术水平和知识受限，直接将电子商务数据库网站后台设计和管理系统的某些后台管理功能及地址放在了网站的首页，从而直接暴露了整个数据库网站后台管理系统的地址，造成严重的网络安全隐患。再例如，整个电子商务数据库网站后台管理系统只有首页的内容需要对网站后台管理员的访问权限和地址进行验证，后续所有的网站界面均不再有管理员进行验证。因此网站攻击者通常只需直接在首页输入url地址，就已经可以直接绕过管理员的验证进入到整个数据库后台的管理系统之中，对整个数据库后台系统进行访问，严重危及电子商务网站后台数据库的安全。2.4SQL注入产生的安全问题。绝大多数的攻击者在电子商务网站后台所遭受的非法网络攻击都可能是由于对sql的注入，sql注入语句如果本身存在了漏洞，就可能会直接导致网站后台的数据厍和网站信息被非法窃取。sql的注入通过直接控制网站应用程序中的关键变量注入语句来直接控制网站后台的数据厍，非法的入侵者可以通过此类方法控制变量来攻击和窃取网站信息。但绝大多数电子网站后台遭受的非法网络攻击都被认为是防火墙可以完全避免的，不过由于防火墙和人们的无知和疏忽，造成许多电子商务网站都不明白是什么原因被黑。再加上网上仍然存在着很多用户可以随意点击下载的非法入侵电子商务网站的软件和工具，任何一个人都完全可以随意利用这些入侵的工具，可以用来攻击和窃取网站的数据。最严重的网络攻击问题之一就是防火墙和一些杀毒软件都无法很好的辨别出什么是sql变量注入的攻击，因为它与一般的web页面的浏览非常相似，所以无法很好的起到网络安全防范的功能，给电子商务网站的后台以及数据库的安全和稳定性造成了严重威胁。

3电子商务网站后台数据库安全问题的防范对策

3.1登录数据库系统特殊账户管理。电子商务企业网站系统后台数据库管理系统开发的过程中，必须注意的是要高度重视特殊用户账号的管理工作，例如：电子商务网站中“sa”这个数据库系统内置的特殊账号不可以被直接进行删除，也可能无法被直接进行修改，此类特殊账号的质量和安全性相对较低，直接管理人员使用此类特殊账号无法登录数据库管理系统会很容易引发安全问题，难以有效提升电子商务企业网站数据库整体的质量。因此，我们管理人员可以不直接使用数据库管理系统的数据库默认用户账号和数据库权限，而是重新设计建立一个数据库的超级用户账号来负责管理整个数据库，并且直接赋予其与数据库默认用户账号相同的数据库权限。而当管理人员必须使用数据库默认的账号时，可直接使用8位以上的“字母＋数字”组合的密码，注意要正确设置进入数据库的密码或者直接使用黑客易猜解的数据库密码，这样可大大增强对该数据库账号的安全保护，提升整个数据库的质量和安全性，同时，数据库管理系统设计的人员还要注意避免出现数据库管理系统软件密码泄露的异常现象，避免让不法的人员对数据库有可乘之机。3.2设计符合规范的数据库结构。设计一个符合规范的与数据库相关的文件结构系统时可以从以下几个关键方面的细节着手：（1）及时更改与数据库相关文件的存储路径和位置。比如：SQLServer系统中相关文件的位置是默认存储在数据库的data文件夹或数据库中的，开发设计的人员首先可更改文件存放的路径，而后及时修改与其他数据库相关文件连接的系统相关文件位置信息。（2）使用了odbc的数据源。odbc的数据源优点之一是用它开发生成的数据库应用程序与数据库或其他数据库的引擎完全无关，隔离了系统和数据库的所有实现操作细节，这样数据源就可以有效地让非法的用户在系统中无法及时找到与数据库相关文件，从而大大提高了数据库的安全性。数据库的设计需要开发人员在现有的iis中手动配置新的odbc文件和数据源，并重新设置好现有的数据库文件的数据源和存储位置即可。（3）建立和完善数据库重命名管理制度。可以为同一个数据库的主文件名选取复杂的英文名字，并将它存储在较深层的数据库路径下。如网上零食店的数据库主文件名，不要给自己起一个诸如“food.mdf”或者“delicious.mdf”之类的英文名字，并将它直接存储在较深层的数据库路径下。另外给数据库表和字段进行命名时可以尽量采用简单的字母加数字进行组合的命名方式，可以有效防止代码在sql注入时被猜测到。3.3提高网站后台管理系统的安全性。提高企业网站后台信息管理数据库系统的使用安全性主要可以从以下几个重要方面着手：首先，设计人员一定需要注意设置较为复杂的网站后台账号，并且一定要尽量避免出现网站后台账号信息泄露的异常现象。其次，电子商务企业网站后台开发技术系统设计人员在开发时还需要能够绕过非法网站和用户的页面，设置一些能够具有非法用户正常访问权限的字符和变量标识，例如：通过设置一个session的变量标识可以使某些非法用户只有能够得到相应正常访问权限和用户账号才能正常访问。最后，设计人员在设计时一定要考虑到能够有效保障网站后台账号所有字符的安全保密性以及网站后台账号的安全连续性，增强了电子商务企业网站后台数据库系统开发过程中安全技术问题的综合解决能力和效果。3.4防止SQL注入产生漏洞。电子商务企业网站的后台管理数据库系统开发的过程中，sql的注入过程中会产生哪些漏洞的问题无疑是非常关键的，要及时采取有效的措施来保护和防止sql的注入。具体防漏洞的操作方法介绍如下：（1）把数据库的sql程序作为核心的代码直接存储在数据库的存储过程中或直接使用XMLwebservice，这种防漏洞的方法实际上不但可以有效保护程序中的核心代码，避免了sql的注入，同时可以大大提高数据库系统的性能。（2）在编写一个数据库的查询语句时，对数据库的sql注入程序中需要输入的所有变量用一对单独的引号方式来进行标注。（3）用户访问一个数据库时不应该选择使用最高访问权限，而是选择使用windows验证的模式进行用户身份验证。

4结束语

随着网络技术的迅速发展，电子商务网站后台数据库开发过程中将会面临越来越多的安全问题，因此，开发设计人员应该从账户管理、数据库结构完善、网站后台管理系统安全以及漏洞问题预防这几个方面着手，结合实际情况采用相应的对策，排除各种安全隐患，使得电子商务网站向更安全、更健康的方面迅速发展，进而带动社会经济的进步。

参考文献：

[1]陈芳.电子商务背景下网站开发中数据库安全问题的探讨[J].电脑迷，2016（8）：37-38.

[2]王蕾.电子商务网站中的数据库安全问题研究[J].通讯世界，2015（13）：30-31.

作者:丁佩佩 单位:扬州市职业大学