如何编写安全的SQL数据库代码？

itsec2009

      问：我们正在全力打造一个安全的SQL数据库。对于如何为此类数据库编写更安全的代码，您有什么建议吗？

　　答：在编写安全的SQL数据库代码时，您的首要任务是要了解你需要保护什么样的数据、为什么要保护这些数据，以及为了保护它们您将要面对的是什么。这将有助于确保您能构建一个适当的、满足您需要的、具有特定功能和特性的安全控制机制。而在数据库设计阶段，您就应当进行此项分析。在分析中，识别和评估风险的过程被称为威胁建模（threat modeling）。

　　在威胁建模过程中，为了确定数据库的潜在威胁，需要对数据库存储和处理的信息进行分类。这将需要您的安全维护人员和数据库开发者从攻击者的角度来共同分析数据库。该过程不仅能帮助大家了解黑客攻击数据库的原因和方式，还能确保必要的安全控制能够尽早适应数据库的设计结构。同时，该过程还会创建一系列文件，以识别和调整数据库的安全需求。  

　　目前，对数据库最大的威胁是SQL注入攻击，因此您进行防护的关键是采用参数化存储过程。这种方法要求使用参数和用户定义的子程序对数据库进行操作，而不是使用那些由用户直接给定的值创建命令。SQL参数不仅是类型安全（type safe）的，而且还能大幅降低SQL注入攻击的成功率。此外，SQL参数还能作为一种控制访问数据库的手段。

　　在编写数据库程序的代码时，应当假设所有传递给它们的数据都来自于未受信任的来源。这意味着，所有的数据库程序都应验证那些等待处理数据的类型、长度、格式和范围。许多开发人员采用过滤已知的不安全字符的方法来净化输入数据，但这样做并不是很有效，因为恶意用户通常能找到其它方法来绕过这种验证。另一种办法是，编写验证程序来检查所有已知的安全可靠的输入数据，除此之外的任何数据都应当予以拒绝。数据库应当记录这些处理结果，但不要将任何系统信息包含在出错消息中返回给调用该数据库的应用程序或用户，因为这些系统信息可能对攻击者有用。  

　　在编写代码时，您需要对您的开发人员进行培训，让他们时刻将安全性考虑在内。这种培训实际上并没有听起来那么花钱。因为在互联网上有许多出色的免费Web应用程序开发论坛和在线教程。这一领域的领导者之一是开源Web应用程序安全计划（Open Web Application Security Project，OWASP），其中有很多关于如何编写更为安全的代码的范例。即使您的开发人员可以编写出健壮的代码，他们仍须用动态和静态分析来检测这些代码在技术上和逻辑上的漏洞。

　　静态分析是指在不执行应用程序本身的情况下审查其源代码；而动态分析则揭示了应用程序在运行时的自身行为以及它与其他程序和操作系统交互的情况。在此需要提醒注意的是，在测试一个新系统时，您绝不应当使用真实的客户数据。最后，在开发和部署数据库时，切勿只依赖您的开发人员来保证数据的安全，你还需要一个深度防御战略来阻止可能发起攻击的黑客。您的网络管理员应当确保任何通过Web应用程序访问数据库的账户都被授予了最低的访问权限，并且在网络传输过程中，敏感信息都是被加密的。