数据库安全

一般的web　server都要使用数据库来存储信息，几乎所有的网站都要用数据库。这样就存在着两种可能，一种是使用小型数据库，如aceess,一般就储存在本地。另一种是使用大型数据库，如SQL　server,Oracle这时候一般就放在另一台机器上，然后通过ODBC来访问它。　
由于页面经常需要查询各种信息，修改用户信息等操作，实质上就是和数据库打交道了。这样就给非法用户留下利用的机会了。
对本地数据库的攻击。
对本地数据库的攻击一种方法就是下载数据库，然后呢，你就可以打开这个数据库得到内部的用户和帐号了，以及其它有用的信息。
下面以“水莲会”为例：
经过扫描，得知www.suilian.net使用的是虚拟主机，使用的是WIndows　NT+IIS4.0.扫描器你可以使用twwwscan或者其它，其实功能都大同小异。
在对IIS攻击时如果能够看到ASP源代码，那么成功的可能性就很大了。
经过测试，发现此站点存在源代码暴露漏洞。。。
大家可以试试：
http://www.suilian.net/null.htw?CiWebhitsfile=/maillist.asp%20&CiRestriction=none&CiHiliteType=full
http://www.suilian.net/null.htw?CiWebhitsfile=/index.asp%20&CiRestriction=none&CiHiliteType=full
http://www.suilian.net/null.htw?CiWebhitsfile=/chat/DetNew.asp%20&CiRestriction=none&CiHiliteType=full
http://www.suilian.net/null.htw?CiWebhitsfile=/chat/detail.asp%20&CiRestriction=none&CiHiliteType=full
http://www.suilian.net/null.htw?CiWebhitsfile=/chat/topic4.asp%20&CiRestriction=none&CiHiliteType=full
http://www.suilian.net/null.htw?CiWebhitsfile=/chat/titlefrm.asp%20&CiRestriction=none&CiHiliteType=full
http://www.suilian.net/null.htw?CiWebhitsfile=/chat/titlenew.asp%20&CiRestriction=none&CiHiliteType=full
看见了什么？
当然源代码泄露的漏洞有很多种，这里就不一一列举，你可以去查漏洞手册。
现在你就可以去查看ASP源代码了。
如果你对ASP不熟悉，我简单介绍一下其实佳佳也不熟悉）。
ASP是嵌在之间。一般使用VBScript或者JavaScript书写代码。

突破script的限制。例如，某网页上有一文本框，允许你输入用户名称，但是它限制你只能输入4个字符。许多程序都是在客户端限制，然后用msgbox弹出错误提示。如果你攻击时需要突破此限制，只需要在本地做一个一样的主页，只是取消了限制，通常是去掉VBscript或IavaScript的限制程序，就可以成功突破。

首先停掉所有的实例$db2list 结果有db2inst1 和db2inst2
把两个都停掉Install Fixpak升级实例

随着计算机的普及以及网络的发展，数据库已经不再仅仅是那些程序员所专有的话题。而Oracle数据库更是凭借其性能卓越，操作方便灵活的特点，在数据库的市场中已经占据了一席之地。但是同样随着网络技术的不断进步，数据信息的不断增加，数据安全已经不再是以前的“老生长谈”，也更不是以前书本上那些“可望不可及”的条条框框。

随着网络的普及，基于网络的应用也越来越多。网络数据库就是其中之一。通过一台或几台服务器可以为很多客户提供服务，这种方式给人们带来了很多方便，但也给不法分子造成了可乘之机。由于数据都是通过网络传输的，这就可以在传输的过程中被截获，或者通过非常手段进入数据库。由于以上原因，数据库安全就显得十分重要。因此，本文就以上问题讨论了MySQL数据库在网络安全方面的一些措施。

1.前言 随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、国家安全。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一，本文就安全防入侵技术做简要的讨论。

一、验证方法选择 本文对验证authentication）和授权authorization）这两个概念作不同的解释。验证是指检验用户的身份标识；授权是指允许用户做些什么。在本文的讨论中，验证过程在用户登录SQL Server的时候出现，授权过程在用户试图访问数据或执行命令的时候出现。

关于网络数据库里一些商业数据被盗窃后公布于网上；公司商业网站的产品价格数据又被恶意修改……类似这样的案例，在网上搜索了一下，实在不少。其原因只有一个，就是来自网络上对Web数据库攻击。那么，在Web环境下的数据库是否能有足够的安全为企业服务呢?答案是肯定的。

计算机系统的安全性一直都是令开发者头痛的问题，特别是在数据库系统中，由于数据大量集中存放，且为众多用户直接共享，安全性问题更为突出。安全性问题给我们带来的危害无须多言，世界上多家大型银行都在不同程度上遭受到非法入侵者的袭击，但由于商业原因，这些银行都不愿意公布损失程度，使安全性问题更难以解决。Sybase作为一种大型数据库系统，其安全性控制策略较为典型。

如果您的mdf文件是当前数据库产生的，那么很侥幸，也许你使用sp_attach_db或者sp_attach_single_file_db可以恢复数据库，但是会出现类似下面的提示信息：

安全模式简介从系统结构上来讲SQL Server有两种安全模式。
第一种是“仅Windows”模式，这种模式只允许拥有受信任的Windows NT账户的用户登录，是SQL Server默认的安全模式，也是较安全的选项，用户登录SQL Server的前提是该用户使用Windows NT的域账户登录Windows操作系统。

根据系统的报错信息、系统日志或者应用程序的报错，怀疑出错原因是域控制器上的Active Directory，这时可能您最先想到的就是使用Ntdsutil工具的修理功能来修复。但是，我建议您最好把它作为所有可用方法中最后的方案。如果有一个有效的备份，最好使用备份来恢复系统，应该始终把使用备份来恢复作为您首选的方案。
对目录数据库使用修复功能并不总是能够达到预期的结果。比如，如果数据库文件真的损坏了，即使使用Ntdsutil也是没有办法恢复所有的对象和属性值。实际上，在某些情况下使用修复工具反而会造成更多的数据丢失，所以在尝试使用这种修复工具之前，注意把这个服务器从网络中隔离开来，以避免影响到其他域控制器的Active Directory复制。在确认修复后的服务器一切正常以后再连接到网络中来。
下面以Windows 2003为例来介绍如何使用Ntdsutil修复Active Directory数据库。
要对数据库进行修理请按照以下步骤：
1）打开命令行提示符窗口，输入下面的命令：
Ntdsutil
2）当出现Ntdsutil的提示后，输入下面的命令：
repair
当其他一切的努力都失败的时候，您可能才会发现从Active Directory的备份中恢复一个Windows 2000域控制器甚至可以恢复整个Active Directory网络）才是最有效的。虽然要把Active Directory从一个备份恢复到一个域控制器上不是一件难事，但是在您进行任何恢复之前，需要对网络体系和逻辑关系仔细考虑。如果在一个网络中存在一台以上的Windows 2000 域控制器，Active Directory将不再只存放在一个地方，这是一个非常重要的问题，它直接决定了将来的恢复过程。试着问问自己以下的几个问题：
是否本地的Active Directory数据库损坏了，其他复制过的域控制器也损坏了吗？当一个域控制器从一个好的备份中恢复以后，是否应该覆盖其他Active Directory中的数据，如果要覆盖，那么是否会丢失所有修改过的数据例如新建或删除的组织单位、修改过的用户和计算机）？能否只恢复本地的Active Directory从而让它恢复正常可能因为数据库损坏、文件丢失或其他原因造成这台服务器与其他不一致）？在恢复以后，这台服务器应该从哪些域控制器上接收更新数据？
回答以上的这些问题将有助于您决定使用哪一种恢复模式：非授权Nonauthoritative）模式或者授权Authoritative）模式。