关键词 ： 网络数据库 ；安全分析； WEB访问；授权管理.

网络数据库是网络环境下办公自动化（ OA ）系统的核心部分。设计一个网络数据库所采用的技术实现方法，其先进性和科学性不仅对软件的开发效率和软件质量有着很大的影响，而且对整个软件的使用和维护有着重大的影响。同时，系统的安全性对于系统的实现同样非常关键。系统不安全的因素包括非授权用户访问计算机网络，授权用户越权访问有关数据库，以及敏感信息在基于 TCP/IP 网络上的传输。结合开发实践，本文主要介绍网络数据库的实现技术和基于 SQL SERVER 的安全策略。

1 系统实现技术

（一） 数据库访问技术

一般的数据库开发工具如 Delphi 5 都提供了一些数据库对象组件，它们封装了 BDE 的功能。这样，开发数据库应用程序就不必知道 BDE 的功能。其次，还提供了数据感知组件可以与数据访问组件彼此通信，这样，建立数据库应用程序的界面就变得简单。 SQL Links 为连接 Oracle 、 Sybase 、 Informix 、 Microsoft SQL Server 、 DB2 和 InterBase 提供了专门的驱动程序，还可以通过 ODBC 连接其他数据库 [1] 。

（二） SQL 编程技术

SQL 是一组符合工业标准的数据库操作命令集，它可以在 Delphi 这样的编程环境中使用。 SQL 不是一门语言，无法得到一个专门的 SQL 软件，它只是服务器数据库的一部分。

作为一种查询语言，是网络环境下客户 / 服务器数据库应用程序开发的标准 [2] 。 Delphi 提供了支持 SQL 的有关组件。 SQL 具有一些查看数据的优势，而且只能使用 SQL 命令来获得。通过 SQL ，也可以灵活地查询所需要的数据，这种灵活性是面向记录的数据库操作所不具备的。

SQL 为控制服务器的数据提供了下列功能：

? 数据定义：使用 SQL 可以定义数据库表的结构，包括表中字段的数据类型以及不同表的字段之间的参照关系。

? 数据检索：客户程序可以通过 SQL 向服务器请求它所需要的数据。 SQL 还允许客户定义要检索什么数据、如何检索，例如排序、选择字段等。

? 数据完整性： SQL 可以实现数据完整性约束，这些完整性约束可以定义为数据库表的一部分，也可以使这些规则以存储过程或其他数据库对象的形式从表中独立出来。

? 数据处理： SQL 允许客户程序更新、添加或删除服务器上的数据。这些操作可以由客户提交的 SQL 语句来完成，也可以由服务器上的存储过程来完成。

? 安全性：通过对不同的数据库对象定义访问权限、视图以及受限制的访问， SQL 可以保护数据的安全。

? 并发访问： SQL 支持对数据的并发访问，多个用户可以同时使用系统而不互相干扰。

简而言之， SQL 是开发和操作客户 / 服务器数据的重要工具。

（三）多层分布式应用技术。

MIDAS (Multitude Distributed Application Services Suite) 即多层分布式应用程序服务器，它提供了一整套中间层应用服务，扩展了操作系统标准，这些服务用于解决各种具体的分布式计算问题，从用于网络定位的目录服务到数据库集成和业务规则处理。

在多层的数据库应用程序中，客户程序、应用程序服务器和远程数据库服务器分布在不同的机器上 [3,4] 。其中，客户程序主要是提供用户界面，他能够向应用程序服务器请求数据和申请更新数据。再由应用程序服务器向远程数据库服务器请求数据和申请更新数据，多层数据库应用程序的体系结构如图 1 所示。

（四） WEB 访问技术

随着 WEB 技术的发展， WEB 与数据库的互连技术也日益发展。主要有： CGI ， WebAPI ， ODBC ， JAVA/JDBC 技术， ASP 技术， PHP 技术等。使用 Delphi 的 WebBroker 技术可以轻松地建立 Web 服务器扩展来提供自定义的、动态的 HTML(Hypertext Markup Language) 网页，并能够访问各种数据源 [5] 。这使得开发 Internet/intranet 应用程序非常容易。

Delphi 提供了开发 Web 应用程序的工具。 Delphi 生成的 Web 应用程序都有一个 TWebModule 类，它实际上起到派发器（ Dispatcher ）的作用。当 Web 应用程序接收到来自 Web 服务器的 HTTP 请求后，将创建一个 TWebRequest 对象来封装 HTTP 请求信息。另外，还要创建一个 TWebResponse 对象，它封装了响应信息。然后， Web 应用程序把这两个对象传递给 TWebModule 对象。 TWebModule 对象控制了 Web 应用程序的内部流程，如图 2 所示。