網(wǎng)絡數(shù)據(jù)庫主要的應用包含網(wǎng)站、企業(yè)信息化系統(tǒng)、政府政務系統(tǒng)、電子商務等。通過Web瀏覽器便可完成對數(shù)據(jù)庫數(shù)據(jù)的常用操作，簡化了用戶對數(shù)據(jù)庫的操作模式。但本質(zhì)上信息架構(gòu)還是屬于瀏覽器、服務端、數(shù)據(jù)庫的模式。在這種架構(gòu)中，數(shù)據(jù)庫直接部署在公網(wǎng)服務器上，給外部人員入侵數(shù)據(jù)庫帶來了便利，這也就使網(wǎng)絡中的數(shù)據(jù)庫面臨更高的數(shù)據(jù)庫安全威脅。

外部入侵網(wǎng)絡數(shù)據(jù)庫主要有兩種方式：

1.服務器上泄露出數(shù)據(jù)庫鏈接信息，被入侵者掌握數(shù)據(jù)庫賬戶和密碼。

2.用戶輸入值未經(jīng)嚴格過濾輸入的語句可以被拼接成其他SQL語句形成sql注入。

第一種入侵方式多是服務器存在遍歷目錄安全隱患或源碼被下載所致。在服務器端需要通過安全配置和權(quán)限設置防止惡意用戶下載數(shù)據(jù)庫配置文件或訪問服務器目錄。在數(shù)據(jù)庫端也可以加強防護。在數(shù)據(jù)庫和服務端之間加入帶有密碼橋功能的數(shù)據(jù)庫防火墻。密碼橋的功能可以實現(xiàn)服務器端記錄的數(shù)據(jù)庫賬號和密碼本身是錯的，但通過密碼橋的轉(zhuǎn)化后可以變成正確的。以保證數(shù)據(jù)庫的真實密碼不會在服務器端被泄露。從而保證數(shù)據(jù)庫的安。

第二種入侵方式服務器端沒有正確的過濾攻擊者在應用端輸入提交的“特殊數(shù)據(jù)”。當“特殊數(shù)據(jù)”流到存儲層的數(shù)據(jù)庫時會造成SQL注入：形如 拼接字符串 union select user, pwd, 1, 2, 3, 4 from users—達到改變SQL意圖目的，獲取關鍵信息。針對這種攻擊方式，可以在HTTP層添加WAF來進行字符串過濾。在數(shù)據(jù)庫端，可以通過數(shù)據(jù)庫防火墻進行輔助防護。數(shù)據(jù)庫防火墻可以阻止用戶自定義的非法訪問。比如上面的利用sql注入想要讀出users表中的用戶名和密碼。數(shù)據(jù)庫防火墻可以限定服務端連接數(shù)據(jù)庫賬號的權(quán)限。確保賬號屬于最小化權(quán)限，防止敏感信息被泄露。同時也可以通過數(shù)據(jù)庫加密產(chǎn)品對數(shù)據(jù)庫中的敏感信息進行加密，防止敏感信息泄露。

網(wǎng)絡中的數(shù)據(jù)庫存儲有大量的用戶敏感信息，例如用戶信息、交易信息等，所以網(wǎng)絡中的數(shù)據(jù)庫安全同樣應該引起廠商的重視。