数据库系统安全之漏洞发掘
正常情况下用户可以通过执行:EXEC SYS.PROC1(''DICKENS'')来查询DICKENS的著作,但如果恶意用户这样执行该存储过程:
EXEC SYS.PROC1( ''DICKENS'''' UNION SELECT PASSWORD FROM USERS_TABLE WHERE ''''A'''' = ''''A''),那么他就非法地查出了所有用户的密码。
虽然这只是一个简单的例子,但它表明在编写系统存储过程、函数和触发器时一定要注意防止SQL注入的可能。
数据库是信息系统的基石,一旦被黑客入侵,后果将不堪设想。而抵抗黑客入侵的最好办法就是克服软件编程中存在的各种漏洞,让黑客无机可乘。通过源码审计、漏洞跟踪等方式可以较好的修正现存系统中的各种安全隐患。目前我们正在达梦数据库中积极开展漏洞发掘的相关工作,努力使达梦数据库成为真正牢不可破的数据库,为国家的信息安全构筑坚强的基石。