©
本文档使用 PHP中文网手册 发布
数据库安全性策略
数据库安全性问题一直是围绕着数据库管理员的恶梦,数据库数据的丢失以及数据库 被非法用户的侵入使得数据库管理员身心疲惫不堪。本文围绕数据库的安全性问题提出了 一些安全性策略,希望对数据库管理员有所帮助,不再夜夜恶梦。 数据库安全性问题应包括两个部分: 一、数据库数据的安全 它应能确保当数据库系统DownTime时,当数据库数据存储媒体被破坏时以及当数据 库用户误操作时,数据库数据信息不至于丢失。 二、数据库系统不被非法用户侵入 它应尽可能地堵住潜在的各种漏洞,防止非法用户利用它们侵入数据库系统。 对于数据库数据的安全问题,数据库管理员可以参考有关系统双机热备份功能以及 数据库的备份和恢复的资料。 以下就数据库系统不被非法用户侵入这个问题作进一步的阐述。 组和安全性 在操作系统下建立用户组也是保证数据库安全性的一种有效方法。Oracle程序为了安 全性目的一般分为两类:一类所有的用户都可执行,另一类只DBA可执行。在Unix环境下组 设置的配置文件是/etc/group,关于这个文件如何配置,请参阅Unix的有关手册,以下是 保证安全性的几种方法: (1) 在安装Oracle Server前,创建数据库管理员组(DBA)而且分配root和Oracle软件 拥有者的用户ID给这个组。DBA能执行的程序只有710权限。在安装过程中SQL*DBA 系统权限命令被自动分配给DBA组。 (2) 允许一部分Unix用户有限制地访问Oracle服务器系统,增加一个由授权用户组成 的Oracle组,确保给Oracle服务器实用例程Oracle组ID,公用的可执行程序,比 如SQL*Plus,SQL*Forms等,应该可被这组执行,然后该这个实用例程的权限为 710,它将允许同组的用户执行,而其他用户不能。 (3) 改那些不会影响数据库安全性的程序的权限为711。 注:在我们的系统中为了安装和调试的方便,Oracle数据库中的两个具有DBA权限的 用户Sys和System的缺省密码是manager。为了您数据库系统的安全,我们强烈 建议您该掉这两个用户的密码,具体操作如下: 在SQL*DBA下键入: alter user sys indentified by password; alter user system indentified by password; 其中password为您为用户设置的密码。 Oracle服务器实用例程的安全性 以下是保护Oracle服务器不被非法用户使用的几条建议: (1) 确保$ORACLE_HOME/bin目录下的所有程序的拥有权归Oracle软件拥有者所有; (2) 给所有用户实用便程(sqiplus,sqiforms,exp,imp等)711权限,使服务器上所有的 用户都可访问Oracle服务器; (3) 给所有的DBA实用例程(比如SQL*DBA)700权限。 Oracle服务器和Unix组 当访问本地的服务器时,您可以通过在操作系统下把Oracle服务器的角色映射到Unix 的组的方式来使用Unix管理服务器的安全性,这种方法适应于本地访问。 在Unix中指定Oracle服务器角色的格式如下: ora_sid_role[_dla] 其中 sid 是您Oracle数据库的oracle_sid; role 是Oracle服务器中角色的名字; d (可选)表示这个角色是缺省值; a (可选)表示这个角色带有WITH ADMIN选项,您只可以把这个角色 授予其他角色,不能是其他用户。 以下是在/etc/group文件中设置的例子: ora_test_osoper_d:NONE:1:jim,narry,scott ora_test_osdba_a:NONE:3:pat ora_test_role1:NONE:4:bob,jane,tom,mary,jim bin: NONE:5:root,oracle,dba root:NONE:7:root 词组“ora_test_osoper_d”表示组的名字;词组“NONE”表示这个组的密码;数字1 表示这个组的ID;接下来的是这个组的成员。前两行是Oracle服务器角色的例子,使 用test作为sid,osoper和osdba作为Oracle服务器角色的名字。osoper是分配给用户 的缺省角色,osdba带有WITH ADMIN选项。 为了使这些数据库角色起作用,您必须shutdown您的数据库系统,设置Oracle数据库 参数文件initORACLE_SID.ora中os_roles参数为True,然后重新启动您的数据库。如 果您想让这些角色有connect internal权限,运行orapwd为这些角色设置密码。当您 尝试connect internal时,您键入的密码表示了角色所对应的权限。 SQL*DBA命令的安全性 如果您没有SQL*PLUS应用程序,您也可以使用SQL*DBA作SQL查权限相关的命令只能分 配给Oracle软件拥有者和DBA组的用户,因为这些命令被授予了特殊的系统权限。 (1) startup (2) shutdown (3) connect internal 数据库文件的安全性 Oracle软件的拥有者应该这些数据库文件($ORACLE_HOME/dbs
#############################
#the following demostrate the open method.
$newOda->Open("select * from test")) or die $newOda->err;
#Get data from RS
echo "count is" .$newOda->Rows;
for($i=0;$i<$newOda->Rows;$i++)
for($j=0;$j<$newOda->Cols;$j++)
{
echo $newOda->RS[$i][$j];
}
$newOda->Logoff();
?>
<?
file://$conn = OCILogon("www_ce", "ceonline99", "wsgp");
// $conn = OCILogon("www_cec", "webchn99", "unicorn");
// if ($SERVER_NAME == "")
// $SERVER_NAME = $HTTP_HOST;
class ODA
{
function ODA($cn="") {
if($cn!="")
$this->conn=$cn;
return TRUE;
}
function Logon($user,$pass,$db) {
if(!($this->conn = OCILogon($user, $pass, $db))){
$this->err_no=106;
$this->err="Error 106: Failed to logon.";
return FALSE;
};
return TRUE;
}
function Open($sql="") file://$this->CmdString
{
if($this->conn=="") {
$this->err_no=100;
$this->err="Error 100,Connection Object Required.";
return FALSE;
}
if($sql=="" and $this->CmdString=="") {
$this->err_no=101;
$this->err="Error 101,SQL Statement Required.";
return FALSE;
}
if($sql=="")
$sql=$this->CmdString;
if(!($cursor=OCIParse($this->conn,$sql))) {
$this->err_no=102;
$this->err="Server Internal Error: Failed to parse SQL Statement.";
return FALSE;
}
if(!OCIExecute($cursor)) {
$this->err_no=103;
$this->err="Server Internal Error: Failed to execute SQL Statement.";
return FALSE;
}
$this->Rows=0;
while(OCIFetchInto($cursor,$this->RS[$this->Rows])){
$this->Rows++;
}
$this->Cols=OCINumCols($cursor);
if($this->Rows==0) {
$this->err_no=104;
$this->err="Warning: No rows affectted.RS result is not available.";
}
OCIFreeStatement($cursor);
return TRUE;
}
function Execute($sql="") {
if($this->conn=="") {
$this->err_no=100;
$this->err="Error 100,Connection Object Required.";
return FALSE;
}
if($sql=="" and $this->CmdString=="") {
$this->err_no=101;
$this->err="Error 101,SQL Statement Required.";
return FALSE;
}
if($sql=="")
$sql=$this->CmdString;
if(!($cursor=OCIParse($this->conn,$sql))) {
$this->err_no=102;
$this->err="Server Internal Error: Failed to parse SQL Statement.";
return FALSE;
}
if(!OCIExecute($cursor)) {
$this->err_no=103;
$this->err="Server Internal Error: Failed to execute SQL Statement.";
return FALSE;
}
$this->Rows=OCIRowCount($cursor);
OCIFreeStatement($cursor);
return TRUE;
}
function LogOff(){
if(!OCILogoff($conn)){
$this->err_no=105;
$this->err="Server Internal Error: Failed to logoff database.";
return FALSE;
}
return TRUE;
}
}
?>