web數(shù)據(jù)庫技術論文
Web數(shù)據(jù)庫指在互聯(lián)網(wǎng)中以Web查詢接口方式訪問的數(shù)據(jù)庫資源。促進Internet發(fā)展的因素之一就是Web技術。這是學習啦小篇為大家整理的web數(shù)據(jù)庫技術論文,僅供參考!
Web數(shù)據(jù)庫安全技術研究篇一
摘要:本文論述了各種Web服務器和客戶端容易遭受的攻擊,并就此給出了一些解決安全問題的措施。
關鍵詞:Web數(shù)據(jù)庫 威脅 攻擊 安全防范
1、前言
基于B/S架構(gòu)的Web數(shù)據(jù)庫管理系統(tǒng)的安全性問題不僅與數(shù)據(jù)庫的自身安全有著緊密聯(lián)系,也與互聯(lián)網(wǎng)的開放型網(wǎng)絡有著密切的聯(lián)系?;ヂ?lián)網(wǎng)本身就是一個不可信網(wǎng)絡,在互聯(lián)網(wǎng)上充斥著各種安全威脅。而數(shù)據(jù)庫安全也是一個復雜的應用問題,數(shù)據(jù)庫管理員需要采用多種策略保證數(shù)據(jù)庫的安全。Web數(shù)據(jù)庫管理系統(tǒng)作為數(shù)據(jù)庫管理系統(tǒng)的一種實際應用,安全問題是關系到整個管理系統(tǒng)的完整性和保密性以及可用性的關鍵因素。
2、常見的安全威脅和攻擊
計算機網(wǎng)絡發(fā)展到今天,已經(jīng)發(fā)生了翻天覆地的變化。黑客攻擊的方式從開始的單一式攻擊已經(jīng)發(fā)展到幾乎覆蓋所有的操作系統(tǒng)和信息系統(tǒng),黑客在網(wǎng)絡上活動的頻率也在增加。他們既可以利用信息系統(tǒng)自身的漏洞來發(fā)動攻擊,也可以利用強行的進攻方式發(fā)動攻擊,導致服務癱瘓,文件損壞等。
從黑客的攻擊方式上可以把網(wǎng)絡安全威脅分為如下幾種:竊取機密攻擊、非法訪問、惡意攻擊、計算機病毒、不良信息資源和信息戰(zhàn)等。常見的攻擊方式分為緩沖區(qū)溢出攻擊、硬件設備破壞、網(wǎng)頁篡改等。通過向程序的緩沖區(qū)寫入超過長度的內(nèi)容造成溢出,從而破壞程序的堆棧,使程序轉(zhuǎn)入其他的位置執(zhí)行未知指令,達到攻擊的目的。這種攻擊大多可以使程序運行失敗或者系統(tǒng)崩潰重啟,嚴重的話可以通過執(zhí)行非授權(quán)指令取得系統(tǒng)特權(quán)執(zhí)行非法操作。
3、Web數(shù)據(jù)庫安全技術分析
3.1JavaScript的安全防范
JavaScript是Netscape公司設計的一系列HTML語言擴展,它增強了HTML語言的動態(tài)交互能力,利用自身優(yōu)勢把一些處理操作轉(zhuǎn)移在客戶瀏覽器中,減輕了服務器的負擔。它基于對象和事件驅(qū)動。通過嵌入或者調(diào)入到HTML實現(xiàn)對瀏覽器的控制,如打開和關閉窗口、操作表格元素、調(diào)整瀏覽器設置等等。它具有以下幾個特點:
(1)基于對象:JavaScript是一種基于對象的語言,帶有面向?qū)ο蟮奶匦?。盡管與C++、Java、C#這樣成熟的面向?qū)ο笳Z言相比,JavaScript的功能要弱一些,但對于它的預期用途而言,JavaScript的功能已經(jīng)足夠大了。自身可以運用自帶的對象操作瀏覽器,從而實現(xiàn)與HTML語言的動態(tài)交互,讓網(wǎng)頁更生動多變。
(2)簡單性:JavaScript是解釋性腳本語言,它的開發(fā)工具多種多樣,采用小程序段實現(xiàn)編程。它的基本結(jié)構(gòu)與C、C++、Java等主流語言類似,學習容易,而且不需要編譯。程序運行時逐行解釋,因此調(diào)試JavaScript不是很容易。它的數(shù)據(jù)類型定義是弱類型,并未使用嚴格的數(shù)據(jù)定義方式,由運行時決定數(shù)據(jù)類型。
(3)動態(tài)性:JavaScript是動態(tài)的,是因為它可以直接對用戶做出的動作進行反應,而不需要經(jīng)過服務程序。用戶對頁面或者窗口做出某些操作(鼠標點擊按鈕,拖動標題欄等)之后,就會觸發(fā)一個“事件響應”,通過它調(diào)用預先定義的腳本函數(shù),從而達到操作的目的。
(4)相對安全性:JavaScript是一種相對安全的語言,它不允許修改本地的硬盤,不允許對網(wǎng)絡文檔進行修改和刪除,只能通過瀏覽器實現(xiàn)信息瀏覽或動態(tài)交互,從而有效地防止數(shù)據(jù)的丟失。
(5)跨平臺性:JavaScript依賴于瀏覽器,目前主流的瀏覽器都會對它進行支持,盡管有些對象在各個瀏覽器上稍有不同。JavaScript只需要一個文本編輯器就可以進行開發(fā),無需Web服務器,可以利用自己的電腦進行處理。
同時JavaScript又是一門有爭議的語言。雖然它是很簡潔的腳本語言,可是安全問題不容小覷。JavaScript能夠獲得用戶本地磁盤和網(wǎng)絡盤上的目錄列表。這既代表了信息泄露和隱私侵犯,又代表了安全風險,可以通過取得機器的相關組織信息從而設計針對機器的入侵方法并進行攻擊破壞。它又能監(jiān)視用戶在某個時間段內(nèi)訪問的網(wǎng)頁,捕捉URL并將它們上傳到Internet上的指定地點,雖然這個過程需要用戶的交互,不過欺騙可以偽裝成合法的方式進行。用戶也可以被這種手段欺騙,從而把本地重要的數(shù)據(jù)文件上傳到指定主機。如果系統(tǒng)主要是依賴口令文件進行訪問的話,這將會面臨很大的安全風險。
3.2Cookies的安全防范
Cookies是Netscape公司開發(fā)的一種機制,用來改善HTTP的無狀態(tài)性。它是一種能夠讓網(wǎng)站服務器把少量數(shù)據(jù)儲存到客戶端的硬盤或內(nèi)存,或者從客戶端的硬盤讀取數(shù)據(jù)的一種技術。Cookies是一段很小的信息,通常只有一個短短的章節(jié)標記那么大。它是在第一次瀏覽網(wǎng)站時Web服務器送到用戶瀏覽器,然后保存在客戶端的硬盤里。它可以記錄用戶在網(wǎng)站上輸入的ID、密碼及其訪問歷史、停留時間等信息。當你再次來到該網(wǎng)站時,網(wǎng)站通過讀取Cookies,自動完成個人驗證身份的輸入操作,達到方便訪問的效果。從本質(zhì)上講,它可以看作是你的身份證。
Cookies不能執(zhí)行代碼,也不會傳送病毒,更不能竊取計算機里面的信息,它只能由提供它的服務器來讀取。保存的信息片斷以“名-值”對的形式儲存,一個“名-值”對僅僅是一條命名的數(shù)據(jù)。Cookies中的內(nèi)容涉及眾多敏感信息,所以大多數(shù)Web服務器都會對Cookies的內(nèi)容進行加密之后發(fā)送給用戶,之后讀取時Web服務器也有相應的解密程序。因此一般用戶看來只是一些毫無意義的字母數(shù)字組合,只有服務器才知道它們真正的含義。
3.3數(shù)據(jù)庫安全及其防范
當今數(shù)據(jù)庫管理系統(tǒng)大多都是關系型數(shù)據(jù)庫管理系統(tǒng),如SQLServer、Oracle、IBMDB2、Sybase等。雖然他們的命令和操作等具體細節(jié)上存在某些差異,可是大概的原理與實現(xiàn)其安全性的技術存在共同的特性。
數(shù)據(jù)庫安全控制是指為保證數(shù)據(jù)庫安全而采取的數(shù)據(jù)庫安全防護措施。數(shù)據(jù)庫的安全策略是涉及信息的高級指導,這些策略根據(jù)用戶需要、安裝環(huán)境、建立規(guī)則和法律等方面的限制來制定。
數(shù)據(jù)庫系統(tǒng)的安全需求分為三個方面,數(shù)據(jù)庫的完整性、保密性和可用性。數(shù)據(jù)庫的完整性又分為物理完整性和邏輯完整性。物理完整性是指數(shù)據(jù)庫不受到物理故障的影響,并在災難性毀壞時可能進行重建和恢復原有的數(shù)據(jù)庫。而邏輯完整性是保證數(shù)據(jù)庫在語義與操作完整性,即要保證數(shù)據(jù)存取時和并發(fā)操作時滿足完整性約束;保密性是指數(shù)據(jù)庫中的數(shù)據(jù)不允許未經(jīng)授權(quán)的用戶存取數(shù)據(jù),訪問數(shù)據(jù)庫的數(shù)據(jù)要進行身份認證,并只能訪問所允許訪問的數(shù)據(jù),同時,還要對用戶的訪問進行跟蹤和審計,還要防止認證后的用戶通過訪問低密級的數(shù)據(jù)推理得到高密級的數(shù)據(jù);數(shù)據(jù)庫的可用性是指既要保證授權(quán)用戶可以正常對數(shù)據(jù)庫中的數(shù)據(jù)進行各種授權(quán)操作,又要保證效率上不受太大的影響。這三個方面用通俗的語言來描述就是數(shù)據(jù)要正確,用戶只能存取應該存取的數(shù)據(jù)。
數(shù)據(jù)庫安全還經(jīng)常受到其它威脅,比如推理通道和隱秘通道的威脅。推理通道就是從已知的信息推出新的信息,當用戶能夠在低安全級別下進行數(shù)據(jù)拼湊從而推導出在高安全級別保護下的數(shù)據(jù)時,推理功能便構(gòu)成了對數(shù)據(jù)庫的嚴重威脅。隱秘通道是指在實施強制訪問控制的多級安全系統(tǒng)中,保密信息被一些高安全級別用戶通過非常規(guī)手段泄露給無權(quán)訪問的,較低安全級別的用戶。推理通道和隱蔽通道是數(shù)據(jù)庫中兩種威脅非常大的信息泄露途徑。
數(shù)據(jù)庫的訪問方式也會產(chǎn)生一些安全威脅。Web數(shù)據(jù)庫的安全還與Web、HTTP協(xié)議安全、應用程序安全、代碼安全等有關。Web數(shù)據(jù)庫由于代碼不規(guī)范或者程序設計得不嚴格而經(jīng)常遭致SQL注入攻擊等。
4、結(jié)語
由于Web數(shù)據(jù)庫安全涉及的技術范圍包括網(wǎng)絡安全和數(shù)據(jù)庫安全等技術,本文特針對幾個Web數(shù)據(jù)庫客戶端與服務器端的常用技術進行探討,指出存在的危險以及缺陷,并且給出了這些安全問題的一些解決方法,使得Web數(shù)據(jù)庫搭載平臺更安全,這些細微之處如果處理不當有時會使整個系統(tǒng)遭受攻擊。
基于Web特色數(shù)據(jù)庫論文檢索系統(tǒng)的研發(fā)篇二
[摘要]依據(jù)特色數(shù)據(jù)庫建設理論,使用ASP、md5加密等技術,使用SQLServer部署特色數(shù)據(jù)庫論文檢索系統(tǒng)并在建設有高職特色的學院論文數(shù)據(jù)庫系統(tǒng)進行有意義的探索研究。
[關鍵詞]特色數(shù)據(jù)庫ASP檢索系統(tǒng)B/S高職
中圖分類號:TP311.52文獻標識碼:A文章編號:1671-7597(2009)1210081-01
一、引言
隨著網(wǎng)絡技術、電子技術、數(shù)字化技術的廣泛應用,圖書館建設數(shù)字館藏的速度大大加快。面對海量的數(shù)據(jù)信息建設大而全的數(shù)據(jù)庫無論從資金上還是從人力上已經(jīng)不太現(xiàn)實,建設有針對性有專題目的的專業(yè)特色數(shù)據(jù)庫已經(jīng)是圖書館信息建設的必然選擇。特色數(shù)據(jù)庫是指充分反映本地區(qū)本單位資源特色的信息總匯,具有鮮明的專業(yè)學科特色、區(qū)域經(jīng)濟特色、地方文化特色和館藏特色。加速實現(xiàn)圖書館信息資源數(shù)字化,已成為圖書館數(shù)字化建設發(fā)展的核心與關鍵。
近幾年許多高校已經(jīng)建立起各自特色數(shù)據(jù)庫系統(tǒng),但在絕大多數(shù)高職院校中還沒有進行相應的建設,我們結(jié)合高職學院現(xiàn)狀進行特色數(shù)據(jù)庫論文檢索系統(tǒng)的探索建設,最終選擇教職工學術論文建設數(shù)據(jù)庫,選擇的理由有以下幾個方面:首先,對于我院教職工所發(fā)表學術論文的收錄我們具有得天獨厚的優(yōu)勢,有利于準確、全面的建庫。其次,收錄信息資源是圖書館信息化建設新使命,進行電子資源建設也是圖書館的發(fā)展方向。再次,建設我院教職工論文數(shù)據(jù)庫有利于我們進行后續(xù)數(shù)據(jù)挖掘,分析我院優(yōu)勢學科和優(yōu)勢專業(yè),有利于學院的專業(yè)建設決策。
二、技術簡介
(一)ASP技術。ASP是Microsoft提出的基于服務器端的腳本執(zhí)行環(huán)境,用它創(chuàng)建的應用程序可跨平臺運行,能將VBscript,JavaScript,Perl等多種語言的語句嵌入HTML頁面,使它們在服務器端執(zhí)行。ASP提供了一個在服務器端腳本編程的開發(fā)環(huán)境,它有利于創(chuàng)建動態(tài)的、交互的web應用程序,執(zhí)行速度快。ADO對象對數(shù)據(jù)庫的操作功能強大、速度快,而且可將多種腳本語言嵌入到HTML語言中,從而具有很強的數(shù)據(jù)處理能力和動態(tài)頁面生成能力。
(二)B/S結(jié)構(gòu)。B/S模式又稱B/S結(jié)構(gòu)。它是隨著Internet技術的興起,一種以Web技術為基礎的新型系統(tǒng)平臺模式。在這種結(jié)構(gòu)下,用戶工作界面是通過IE瀏覽器來實現(xiàn)的。B/S模式最大的好處是運行維護比較簡便,能實現(xiàn)不同的人員,從不同的地點,以不同的接入方式訪問和操作共同的數(shù)據(jù)。
(三)ODBC。ODBC(開放數(shù)據(jù)庫互連)是微軟公司開放服務結(jié)構(gòu)中有關數(shù)據(jù)庫的一個組成部分,它建立了一組規(guī)范,并提供了一組對數(shù)據(jù)庫訪問的標準API。
(四)MD5。MD5的全稱是Message-digest Algorithm 5(信息-摘要算法),在90年代初由MIT Laboratory for Computer Science和Ronald L.Rivest開發(fā)出來,經(jīng)MD2、MD3和MD4發(fā)展而來。它的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被“壓縮”成一種保密的格式。不管是MD2、MD4還是MD5,它們都需要獲得一個隨機長度的信息并產(chǎn)生一個128位的信息摘要。
三、設計思想
該系統(tǒng)采用B/S架構(gòu)結(jié)合SqlServer數(shù)據(jù)庫設計開發(fā),服務器端安裝Web和數(shù)據(jù)庫服務器,客戶端只需安裝瀏覽器即可,數(shù)據(jù)庫接口采用開放式數(shù)據(jù)庫互連ODBC,用戶首先通過瀏覽器訪問Web服務器,Web服務器通過ODBC連接到SQL server數(shù)據(jù)庫,通過SQL語言通數(shù)據(jù)庫進行數(shù)據(jù)交換,取得用戶所需要的數(shù)據(jù),再通過Web服務器將數(shù)據(jù)和HTML代碼一同返回給用戶的瀏覽器,瀏覽器再將代碼進行解釋,最終將查詢結(jié)果按照事先安排好的效果返回給用戶。
四、系統(tǒng)結(jié)構(gòu)
本系統(tǒng)主要分為用戶界面和管理員界面,具體結(jié)構(gòu)如圖1所示:
圖1系統(tǒng)模塊流程圖
五、設計與實現(xiàn)
使用ASP技術進行開發(fā),數(shù)據(jù)庫采用SqlServer2000作為后臺數(shù)據(jù)庫并部署于集成IIS的Windows2003企業(yè)版操作系統(tǒng)的塔式服務器中。
在系統(tǒng)的安全性方面考慮使用md5加密算法,在管理員登陸界面上使用如下語句將系統(tǒng)傳遞過來的adminpwd字符串利用md5.asp頁面中的算法進行加密:“adminpwd = md5(request("adminpwd"))”通過該加密算法保證了數(shù)據(jù)庫的安全性,黑客入侵數(shù)據(jù)庫后也僅僅拿到加密后的字符串無法得出管理員的密鑰信息。
在數(shù)據(jù)庫收錄論文方面,教師們上傳的電子稿大都是Word文檔,為了統(tǒng)一和便于閱讀,我們使用Adobe公司的Acrobat Professional 7.0版將論文由Office的Doc文檔轉(zhuǎn)成PDF格式文檔并進行安全性設置,更適用于論文的網(wǎng)絡在線閱讀。PDF文檔格式是較為通用的網(wǎng)絡文檔格式之一,其優(yōu)點有四:一是版式較為柔和美觀;二是PDF文檔具有翻頁和書簽導航功能,便于機上閱讀;三是文件的大小較之同樣的Word文檔大幅度壓縮,更加便于在線閱讀;四是PDF文檔具有一定的安全性,利用Acrobat相應的軟件功能可進行文檔安全性設置,例如:禁止打印、禁止復制、禁止更改等。
六、結(jié)束語
特色數(shù)據(jù)庫論文檢索系統(tǒng)自2007年起進行建設,經(jīng)過反復實踐修改,最終成功部署到HP塔式服務器上運行,到目前為止收錄學院公開發(fā)表論文827篇,上傳未發(fā)表論文47篇,查詢下載次數(shù)為9871人次,活躍了教職工學術交流的同時為學院專業(yè)定位和優(yōu)勢挖掘提供數(shù)字依據(jù),也為下一步圖書館電子資源的建設和發(fā)展打下了堅實的基礎。
立項課題:淄博職業(yè)學院“崗位創(chuàng)新・百萬行動”課題
課題編號:2006GY01
參考文獻:
[1]趙連朋,數(shù)字圖書館之特色數(shù)據(jù)庫建設――渤海大學數(shù)字圖書館學位論文數(shù)據(jù)庫管理系統(tǒng)的研發(fā),中國圖書情報科學,2004(4):9-13.
[2]張淼,特色數(shù)據(jù)庫建設中信息發(fā)布的研究與實踐,圖書館學研究,2004(9):4-5,15.
[3]曲金麗,論高校圖書館自建特色數(shù)據(jù)庫建設,石河子科技,2005(4):23-24.