Использование баз данных для web-приложений

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Реферат

Использование баз данных для web-приложений

Введение

приложение управление гипертекстовый

Базы данных можно использовать как средство позволяющее реализовать полезные функции. Например, хранение Internet - адресов для рассылки рекламы и т.п. 

Если мы имеем выход в интернет, то можем воспользоваться функциями Microsоft Access, для обеспечения доступа к информации базы данных пользователями интернета.

Базы данных - это хранилище объектов данных.

1. Накопление знаний

Самым немаловажным критерием для выбора той или иной базы данных это накопленные знания о ней. Распространенная база данных, такая как MySQL, накопила большое количество информации о ее поведении в разных условиях, и о том, какие системы в принципе можно сконструировать на основе данной базы данных, изменив ее или приспособив.

Нужно понимать, что новая малоизвестная система должна пройти период накопления знаний в каждой из команд разработчиков.

Современное поколение баз данных не очень хорошо приспособлено для работы со сложными связями и различными типами данных.

2. Access - средство быстрой разработки приложений

Приложение базы данных содержит набор объектов, среди которых могут быть таблицы, запросы, формы, отчеты, макросы и модули кода, которые используются вместе и упрощают использование базы данных.

Access относят к средствам быстрой разработки приложений (RAD - Rapid Application Development). Мы можем выделить такие отличительные черты разработки как - наличие объектно-ориентированного языка программирования, который позволяет действенно использовать модульный принцип составления программ; применение визуальных средств разработки, предоставляющих возможность заменить написание программного кода рисование пользовательского интерфейса; поддержка стандартных протоколов обмена данными между приложениями, дозволяющая разработать многоуровневые приложения, не зависящие от источника данных.

3. Приложения, использующие управления базами данных

При использовании или сохранении единичных данных, данные удобно хранить в файлах. Но если данных или их типов очень много или мы имеем дело с большим количеством пользователей, то в таком случае использование системы управления базами данных как часть приложения, дает довольно значительную пользу. У приложений использующих возможности баз данных, прибавляется сложность самого инсталлирования базы данных и объединение ее с приложением. В большинстве нынешних веб-приложений местом хранения данных используют базу данных даже в том случае, когда совокупность данных и сложность не являются большими. В веб-приложениях нужно учитывать возможное количество одновременно работающих пользователей и то, что в базе данных временная блокировка соответствующих мест происходит проще, чем в файлах.

4. Развитие веб-технологий с использованием баз данных

Функции которые реализуются с помощью БД и веб можно разбить на три уровня:

Уровень представления - окна ввода и вывода;

Уровень логики приложения - задачи и правила управления процессом (анализ запросов, контроль данных статистических характеристик и др.);

Уровень данных - механизм постоянного хранения данных - БД. Эти уровни можно реализовать в нескольких вариантах архитектуры распределения БД:

Представление и логика приложения могут размещаться на клиенте БД на сервере.

Представление на клиенте, приложение на сервере приложений, данные на сервере БД.

Достоинства второго варианта:

Логика приложения представляется в виде изолированных компонентов, которые можно использовать в других системах.

Различные уровни приложения можно распространить по различным компонентам, что позволяет повысить производительность и улучшить координацию.

Разработку отдельных уровней можно поручить различным группам разработчиков.

5. Динамическое создание гипертекстовых документов на основе содержимого БД

Обширно применяются следующие технологии создания интерактивного взаимодействия с пользователем на веб использовании Стандартного Интерфейса Шлюза (Commom Gateway Interface) - CGI, включение JavaScript - сценариев в тело веб-страниц; самый мощный предоставляющий неограниченные возможности способ - это применение технологии Java/

В таком варианте доступ к БД осуществляется специальной CGI-программой, которая запускается веб-сервером в ответ на запрос веб-клиента. Такая программа обрабатывая запрос, просматривает содержимое БД и создает выходной HTML-документ, возвращаемый клиенту.

Такое решение действенно для больших баз данных со сложной структурой и при необходимости поддержки операций поиска.

6. Совместное использование базы данных с помощью сайта SharePoint

Приложение SharePoint позволяет использовать преимущества централизованного размещения данных. Кроме того, можно использовать функции SharePoint для управления размещения пользователей и предоставления доступа к данным через веб-браузер.

Способы совместного использования базы данных с помощью SharePoint:

· Публикация веб-базы данных с помощью служб Access

Службы Access предоставляют платформу для создания баз данных, которые можно использовать в интернете. Веб-базы данных конструируются и публикуются с использованием Access 200 и SharePoint, после чего можно использовать веб-базу данных через веб-браузер.

Принцип работы - при публикации веб-базы данных службы Access создают сайт SharePoint, содержащий базу данных. Все объекты базы данных и сами данные перемещаются в списки SharePoint на этом сайте. Чтобы создать веб-базу данных, нужно разрешение конструктора на сайте SharePoint, на котором она будет опубликована.

Данные хранятся в списках SharePoint. Все таблицы преобразуются в списки SharePoint, а записи становятся элементами списка. Это позволяет управлять доступом К веб-базе данных с помощью разрешений SharePoint.

· Сохранение файла базы данных в библиотеке документов SharePoint

Этот способ упрощает управление доступом к базе данных. Базу данных можно сохранить в любой библиотеке документов SharePoint. Это позволяет интегрировать управление файлами баз данных Access с остальными документами и бизнес-данными.

· Перемещение данных в списки SharePoint и связывание с ними

Этот способ позволяет каждому пользователю изменять собственную копию базы данных, поскольку совместный доступ к данным осуществляется через сайт SharePoint. Хотя в данном случае отсутствуют преимущества, получаемые при публикации базы данных на сайте SharePoint, при этом достигается выгода централизованного расположения данных на сайте SharePoint.

7. Использование Access с сервером базы данных

Совместное использование базы данных можно организовать с помощью приложения Access и сервера баз данных (например, сервер SQL Server). Этот способ обеспечивает много преимуществ, но для него требуется дополнительное программное обеспечение - сервер баз данных.

Преимущества данного совместного использования.

· Высокая производительность и масштабируемость. Во многих случаях сервер баз данных обеспечивает более высокую производительность, чем простой файл базы данных Access. Большинство серверов баз данных также обеспечивают поддержку очень крупных баз данных размером до терабайта, что примерно в 500 раз превышает текущий предел для баз данных Access (2ГБ). В целом серверы баз данных работают весьма действенно, обрабатывая запросы параллельно и сводя к минимуму дополнительные требования к памяти при добавлении пользователей.

· Повышенная доступность. В большинстве серверов баз данных предусмотрено резервное копирование базы данных во время ее использования. В результате для резервного копирования данных пользователям не обязательно выходить из базы данных. Кроме того, обычно серверы баз данных очень действенно работают с одновременным изменением и блокировкой записей.

· Улучшенная безопасность. Ни одну базу данных нельзя защитить полностью. Тем не менее серверы баз данных обеспечивают надежную защиту, которая позволяет предотвратить несанкционированное использование данных. В большинстве серверов баз данных используются средства обеспечения безопасности на основе учетных записей, что позволяет контролировать доступ пользователей к таблицам. Даже в случае незаконного получения доступа к интерфейсу Access несанкционированное использование данных будет предотвращено средствами защиты на уровне учетных записей.

· Автоматическое восстановление. Если вдруг произойдет сбой, на некоторых серверах баз данных предусмотрен механизм автоматического восстановления базы данных до последнего состояния всего за несколько минут без вмешательства администратора базы данных.

· Обработка данных на сервере. Использование приложения Access в конфигурации «клиент-сервер» уменьшает объем сетевого трафика благодаря обработке запросов базы данных на сервере перед отправкой результатов клиенту. Обычно сервер обрабатывает данные более эффективно, особенно при работе с большими наборами данных.

8. Оценка рисков использования веб-приложений

Безопасность веб-приложений уже не первый год является важным элементом защиты информационных систем. Беря во внимание тенденцию к переносу стандартных клиент-серверных приложений в веб-среду, растущую популярность AJAX и других элементов Web 2.0 можно сказать, что с течением времени актуальность защиты онлайн приложений только растет.

Базы данных уязвимостей.

С помощью справочников баз данных уязвимостей мы получаем ответы о той или иной проблеме.

По информации портала SecurityLab.ru, около 40% всех обнаруженных уязвимостей приходиться на веб-приложения (см. рис. ).

Анализ защищенности систем

В качестве примера таких отчетов приводится ежегодный отчет «Статистика уязвимости веб-приложений» компании Positive Technologies (PT) и ежеквартальное обозрение «Website Security Statistics Report» компании WhiteHat Security (WH). Оба отчета имеют близкую структуру и содержат статистику уязвимостей веб-приложений, полученную в ходе работ по тестированию на проникновение, аудита безопасности и др. Для получения данных использовались различные подходы, от сканирования веб-приложений с помощью сканеров с последующей проверкой результатов до тестирования методом «белого ящика», включающего также частичный анализ исходного кода.

Оба отчета используют классификацию уязвимостей Web Application Security Consortium Web Security Threat Classification. В этом документе собраны воедино и организованы различные угрозы безопасности веб-приложений.

Любопытно, что данные отчеты близки не только по структуре, но и по результатам. Так, наиболее распространенной уязвимостью оба источника признают «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS). Эта уязвимость была обнаружена в 74% всех сайтов по версии Positive Technologies (см. рис. 2) и в 65 случаях из 00 (см. рис. 3) у клиентов WhiteHat Security.

Наиболее распространенной уязвимостью высокой степенью риска обе компании признают «Внедрение операторов SQL» (SQL Injection) вероятность обнаружения которой составляет 3% - PT и 6% - WH. Меньшая вероятность обнаружения проблем различных типов в трактовке WhiteHat Security вполне объяснима большей зрелостью западного рынка и использованием результатов повторных проверок приложений одного и того же клиента. К сожалению, большинство российских обладателей Web-приложений находится на этапе становления процесса управления информационной безопасностью.

В кое-каких пунктах, например по количеству уязвимостей типа «Утечка информации» (Information Leakage) отчеты достаточно серьезно расходятся (90% - PT и 40% - WH). Это связанно с тем, что WhiteHat Security включает в отчет только уязвимости, имеющие «критичный», «неотложный» и «высокий» уровень риска, в то время как Positive Technologies задействует все найденные недочеты.

Вероятность атаки

Все же вероятность обнаружения уязвимости не является - реализациий угрозы (атаки), которая требуется в классической модели оценки рисков. Для получения информации об инцидентах в основном используются два подхода: регистрация информации об инцидентах и протоколирование попыток с помощью технологии honeypot или антивирусного сканирования.

В качестве интересных примеров первого типа можно привести портал Zone-H и проект Web Hacking Incidents Database. Портал Zone-H регистрирует последствия компрометации Web-приложений. Как правило, информацию в архив заносят сами злоумышленники. Это определяет и наполнение архива, содержащего в основном информацию об атаках «взломать хоть что-нибудь».

База данных Web Hacking Incidents Database пополняется на основе информации, доступной в средствах массовой информации. В связи с этим технические детали, как правило, отсутствуют либо недостаточно конкретны, однако объекты успешных атак весьма и весьма внушительны. Нередко в информации об инциденте имеется информация, позволяющая оценить результаты атаки.

Образцами использования технологии honeypot для определения наиболее вероятных методов атак представлены в публикациях Internet Security Threat Report компании Symantec и отчетах проекта «Distributed Open Proxy Honyepot».

Заключение

В заключение можно сказать то, что на сегодняшний день ни одно веб-приложение не обходится без базы данных. Сегодня идет стремительное развитие интернет-технологий, мир представляет все лучше программы и приложения которые нам помогают и упрощают нашу работу. Благодаря систематизации в базах данных на легко работать в веб-приложениях.

Список литературы

1. Дунаев С.Б. «Intranet-технологии» М., 997

2. Грабер М., «Справочное руководство по SQL» м. 997

3. Фролов А.В., Фролов Г.В. Базы данных в Интернете: практическое руководство по созданию Web-приложений с базами данных. 2000

Размещено на Allbest.ru