Web安全访问SQL Server

　　对于有人认为采用Web开发采用TCP/IP协议会导致SQL Server安全问题的论述，我认为这个会误导大家。因为，NAMED PIPE协议对Web服务器和数据库服务器之间需要操作系统级的安全认证，照上面的说法，岂不是也存在安全隐患?

　　问题不是出在协议本身，而是开发者的开发方法。正如作者所说的程序员会把数据库连接的信息写在一个INC文件，而这个INC文件所在的Web目录往往又设置成了可读写。这些问题，都是开发者自身的问题，而不是采用了什么协议的问题。

　　因此，我总结在Web开发的时候，应该注意：

　　1 体系架构设计应该注意， 数据库服务器和Web服务器不要位于同一台物理服务器，Web服务器应该配置两块网卡，目的只有一个，就是要把数据库服务器放置在内网，而不是暴露在INTERNET上。

　　2 Web服务器前应该配置防火墙，提高Web服务器的抗侵袭能力

　　3 数据库登陆账号的安全问题，Web程序不应该通过具有系统管理员权限的账号访问系统。数据库员应很好地规划数据库访问权限地控制。

　　4 Web端程序，要避免把数据库连接的信息直接写在jsp或asp中，方法很多：

　　a) 可以考虑ODBC，程序中只需要一个dsn就可以，账号和密码设置在odbc管理器中。

　　b) 把连接串信息加密，程序自己解密

　　c) 把数据库操作部分做成一个组件。