數(shù)據(jù)庫(kù)作為非常重要的存儲(chǔ)工具，里面往往會(huì)存放著大量有價(jià)值或敏感信息，而開(kāi)發(fā)者在開(kāi)發(fā)或維護(hù)中，往往因過(guò)錯(cuò)導(dǎo)致數(shù)據(jù)庫(kù)暴露在危險(xiǎn)中！

1.錯(cuò)誤地部署

開(kāi) 發(fā)者在部署過(guò)程中的粗心大意會(huì)很容易讓數(shù)據(jù)庫(kù)陷入危難之中。在現(xiàn)實(shí)中，有些公司會(huì)意識(shí)到優(yōu)化搜索引擎對(duì)于業(yè)務(wù)取得成功的重要性，但只有對(duì)數(shù)據(jù)庫(kù)進(jìn)行排 ;序，SEO才可以很好地對(duì)其優(yōu)化。盡管功能性測(cè)試對(duì)性能有一定的保證，但測(cè)試并不能預(yù)料數(shù)據(jù)庫(kù)會(huì)發(fā)生的一切。因此，在進(jìn)行完全部署之前，對(duì)數(shù)據(jù)庫(kù)進(jìn)行全面 的檢查是非常有必要的。

2.數(shù)據(jù)泄露

你可以把數(shù)據(jù)庫(kù)當(dāng)做后端設(shè)置的一部分，并將焦點(diǎn)轉(zhuǎn)移到保護(hù)互聯(lián)網(wǎng)安全上面，黑客很容易操縱數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)接口的，所以，為了避免這種現(xiàn)象發(fā)生，工程師在進(jìn)行數(shù)據(jù)庫(kù)開(kāi)發(fā)時(shí)，使用TLS或SSL加密通信平臺(tái)變的尤為重要。

3.數(shù)據(jù)庫(kù)維護(hù)

你是否還記得2003年的SQL Slammer蠕蟲(chóng)病毒，該病毒利用SQL Server的漏洞進(jìn)行傳播，導(dǎo)致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓，中國(guó)也有80%以上網(wǎng)民受到影響。該蠕蟲(chóng)的成功充分說(shuō)明了保護(hù)數(shù)據(jù)庫(kù)安全是多么的重要。不幸的 是，現(xiàn)實(shí)中很少有公司對(duì)他們的系統(tǒng)提供常規(guī)的補(bǔ)丁，因此，他們很容易遭受蠕蟲(chóng)攻擊。

4.數(shù)據(jù)庫(kù)備份信息被盜

通常，數(shù)據(jù)庫(kù)備份信息外泄一般會(huì)來(lái)自兩種途徑，一個(gè)是外部，一個(gè)是內(nèi)部的。這是許多企業(yè)會(huì)經(jīng)常遇到的問(wèn)題，而解決這種問(wèn)題的唯一方法是對(duì)檔案進(jìn)行加密。

5.濫用數(shù)據(jù)庫(kù)特性

據(jù)專家稱，每一個(gè)被黑客攻擊的數(shù)據(jù)庫(kù)都會(huì)濫用數(shù)據(jù)庫(kù)特性。例如，黑客可以在系統(tǒng)沒(méi)有執(zhí)行的情況下隨意進(jìn)入系統(tǒng)。解決這種問(wèn)題的方法是移除不必要的工具。

6.基礎(chǔ)設(shè)施薄弱

黑客一般不會(huì)馬上控制整個(gè)數(shù)據(jù)庫(kù)，相反，他們會(huì)選擇玩跳房子游戲來(lái)發(fā)現(xiàn)基礎(chǔ)架構(gòu)中薄弱的地方，然后再利用該地方的優(yōu)勢(shì)來(lái)發(fā)動(dòng)字符串攻擊，直到抵達(dá)后端。

7.缺乏隔離

給管理員和用戶進(jìn)行職責(zé)劃分，如果他們?cè)噲D盜取數(shù)據(jù)，那么內(nèi)部員工將會(huì)面臨更多的困難。所以，限制用戶數(shù)量，這樣黑客想控制整個(gè)數(shù)據(jù)庫(kù)就會(huì)有一定的挑戰(zhàn)。

8.SQL注入

一旦應(yīng)用程序被注入惡意的字符串來(lái)欺騙服務(wù)器執(zhí)行命令，那么管理員不得不收拾殘局，在保護(hù)數(shù)據(jù)庫(kù)上，這是一個(gè)主要問(wèn)題。目前最佳的解決方案就是使用防火墻來(lái)保護(hù)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)。

9.密鑰管理不當(dāng)

保證密鑰安全是非常重要的，但是加密密鑰通常存儲(chǔ)在公司的磁盤(pán)驅(qū)動(dòng)器上，如果無(wú)人防守，那么您的系統(tǒng)會(huì)很容易遭受黑客攻擊。

10.違法操作

開(kāi)發(fā)人員可以利用追蹤信息/日志文本來(lái)查詢和解決此類問(wèn)題。

這里很多優(yōu)秀的大型企業(yè)的選擇，值得借鑒，他們除了自身開(kāi)發(fā)團(tuán)隊(duì)的強(qiáng)大實(shí)力，還在開(kāi)發(fā)中使用數(shù)據(jù)庫(kù)控件，或在維護(hù)中使用數(shù)據(jù)庫(kù)管理軟件。目前市面上有很多諸如此類的工具，開(kāi)發(fā)者除了加強(qiáng)自己對(duì)數(shù)據(jù)庫(kù)的開(kāi)發(fā)認(rèn)識(shí)，學(xué)習(xí)這些工具并使用它，應(yīng)該能提高開(kāi)發(fā)水平，并強(qiáng)化自己的技能（推薦比較的熱門(mén)的Devart公司旗下的產(chǎn)品）。