2025年P(guān)ython數(shù)據(jù)庫(kù)數(shù)據(jù)安全培訓(xùn)試卷知識(shí)點(diǎn)梳理與實(shí)戰(zhàn)考試時(shí)間：______分鐘總分：______分姓名：______一、選擇題1.在連接關(guān)系型數(shù)據(jù)庫(kù)時(shí)，使用字符串拼接構(gòu)造SQL查詢語(yǔ)句的主要風(fēng)險(xiǎn)是什么？A.可能導(dǎo)致連接超時(shí)B.可能引發(fā)數(shù)據(jù)庫(kù)性能下降C.極易受到SQL注入攻擊D.代碼可讀性差2.以下哪種哈希算法通常被認(rèn)為適用于存儲(chǔ)用戶密碼，因?yàn)樗}值并設(shè)計(jì)為單向不可逆？A.MD5B.SHA-1C.SHA-256D.bcrypt3.當(dāng)需要加密傳輸數(shù)據(jù)庫(kù)連接數(shù)據(jù)時(shí)，通常使用哪種網(wǎng)絡(luò)協(xié)議？A.HTTPB.FTPC.TLS/SSLD.SMTP4.在數(shù)據(jù)庫(kù)權(quán)限管理中，`GRANTSELECTONtable_nameTOuser_name;`這條SQL語(yǔ)句的主要作用是？A.創(chuàng)建一個(gè)新的數(shù)據(jù)庫(kù)用戶B.刪除一個(gè)數(shù)據(jù)庫(kù)用戶C.授予用戶對(duì)指定表的查詢權(quán)限D(zhuǎn).修改用戶的密碼5.以下哪項(xiàng)不是數(shù)據(jù)庫(kù)審計(jì)日志通常會(huì)記錄的關(guān)鍵信息？A.執(zhí)行SQL語(yǔ)句的用戶B.語(yǔ)句執(zhí)行的精確時(shí)間C.語(yǔ)句執(zhí)行的結(jié)果集大小D.數(shù)據(jù)庫(kù)服務(wù)器的CPU使用率6.對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)（如身份證號(hào)）進(jìn)行部分隱藏（例如顯示前幾位和后幾位，中間用星號(hào)替代），這種技術(shù)稱為？A.數(shù)據(jù)加密B.數(shù)據(jù)脫敏C.數(shù)據(jù)匿名化D.數(shù)據(jù)備份7.使用Python的`cryptography`庫(kù)進(jìn)行對(duì)稱加密時(shí)，如果密鑰長(zhǎng)度不足，通常采用哪種方法來增強(qiáng)安全性？A.自動(dòng)增加密鑰長(zhǎng)度B.使用默認(rèn)填充方式進(jìn)行填充C.拋出異常錯(cuò)誤D.提示用戶手動(dòng)輸入更長(zhǎng)的密鑰8.以下哪項(xiàng)是防御網(wǎng)絡(luò)層面的DDoS攻擊的常見措施？A.對(duì)敏感查詢使用參數(shù)化B.配置數(shù)據(jù)庫(kù)防火墻或WAFC.定期更新數(shù)據(jù)庫(kù)密碼D.對(duì)密碼進(jìn)行加鹽哈希9.在設(shè)計(jì)數(shù)據(jù)庫(kù)用戶權(quán)限時(shí)，遵循“最小權(quán)限原則”意味著？A.越多的用戶擁有越多的權(quán)限越好B.每個(gè)用戶只被授予完成其工作所必需的最少權(quán)限C.管理員應(yīng)該擁有所有權(quán)限D(zhuǎn).權(quán)限設(shè)置得越復(fù)雜越安全10.如果數(shù)據(jù)庫(kù)配置文件意外地暴露了包含敏感信息（如密碼）的內(nèi)容，這通常被認(rèn)為是哪種安全風(fēng)險(xiǎn)？A.SQL注入B.跨站腳本（XSS）C.敏感信息泄露D.重放攻擊二、簡(jiǎn)答題1.請(qǐng)簡(jiǎn)述參數(shù)化查詢（ParameterizedQueries）的工作原理，以及它如何幫助防御SQL注入攻擊。2.在使用Python連接遠(yuǎn)程數(shù)據(jù)庫(kù)（如PostgreSQL或MySQL）時(shí)，為了提高連接的安全性，應(yīng)該考慮哪些配置或使用哪些技術(shù)？3.什么是數(shù)據(jù)庫(kù)“鹽”（Salt）？在密碼哈希存儲(chǔ)中，使用鹽的主要目的是什么？4.數(shù)據(jù)庫(kù)審計(jì)日志對(duì)于保障數(shù)據(jù)安全有何重要性？請(qǐng)列舉至少三個(gè)審計(jì)日志應(yīng)關(guān)注的關(guān)鍵信息類型。5.簡(jiǎn)述“數(shù)據(jù)脫敏”的概念及其在保護(hù)個(gè)人隱私方面的作用。請(qǐng)舉一個(gè)數(shù)據(jù)脫敏的例子。三、編程實(shí)踐題1.假設(shè)你需要使用Python連接到一個(gè)配置了TLS/SSL的PostgreSQL數(shù)據(jù)庫(kù)（數(shù)據(jù)庫(kù)名為`secure_db`，用戶名為`secure_user`，密碼為`secure_password`，服務(wù)器地址為``，端口為`5432`）。請(qǐng)寫出使用`psycopg2`庫(kù)建立安全連接的基本代碼框架。（無(wú)需執(zhí)行，無(wú)需完整錯(cuò)誤處理，只需展示連接部分的關(guān)鍵代碼）。2.編寫一個(gè)Python函數(shù)，該函數(shù)接收一個(gè)明文密碼和一個(gè)鹽值（假設(shè)鹽值為16字節(jié)的隨機(jī)字節(jié)串），使用`bcrypt`庫(kù)（或類似庫(kù)）對(duì)該密碼進(jìn)行加密（哈希），并返回加密后的哈希值。假設(shè)你已經(jīng)安裝了`bcrypt`庫(kù)。3.給定以下Python代碼片段，該片段嘗試從用戶輸入中獲取一個(gè)表名并執(zhí)行查詢，存在SQL注入風(fēng)險(xiǎn)。請(qǐng)修改該代碼，使用參數(shù)化查詢來防止SQL注入攻擊。```pythonimportsqlite3defget_user_data(user_id):conn=sqlite3.connect('example.db')cursor=conn.cursor()table_name=input("Entertablenametoquery:")query=f"SELECT*FROM{table_name}WHEREid={user_id}"cursor.execute(query)results=cursor.fetchall()cursor.close()conn.close()returnresults```4.編寫一個(gè)Python函數(shù)，該函數(shù)接收數(shù)據(jù)庫(kù)連接對(duì)象、表名和一個(gè)脫敏規(guī)則（例如，隱藏郵箱地址中間部分）。函數(shù)應(yīng)查詢指定表的某些字段（如`email`），根據(jù)規(guī)則對(duì)結(jié)果進(jìn)行脫敏處理，并返回脫敏后的結(jié)果列表。假設(shè)使用`psycopg2`連接PostgreSQL數(shù)據(jù)庫(kù)。5.假設(shè)你需要記錄數(shù)據(jù)庫(kù)的關(guān)鍵操作（如登錄嘗試、重要數(shù)據(jù)修改）。請(qǐng)?jiān)O(shè)計(jì)一個(gè)簡(jiǎn)單的Python日志記錄函數(shù)，該函數(shù)接收操作類型、操作時(shí)間、操作用戶和操作描述等參數(shù)，并將這些信息格式化后記錄到一個(gè)名為`db_audit.log`的文件中（使用`logging`庫(kù)）。要求日志文件以追加模式打開。試卷答案一、選擇題1.C解析思路：字符串拼接構(gòu)造SQL查詢語(yǔ)句時(shí)，用戶可以輸入惡意內(nèi)容，從而改變?cè)糞QL語(yǔ)句的結(jié)構(gòu)和意圖，構(gòu)成SQL注入攻擊。2.D解析思路：bcrypt算法專門為密碼存儲(chǔ)設(shè)計(jì)，內(nèi)置了鹽值機(jī)制，并且計(jì)算速度相對(duì)較慢，能有效抵抗暴力破解，符合密碼存儲(chǔ)的安全要求。3.C解析思路：TLS/SSL是傳輸層安全協(xié)議，用于加密網(wǎng)絡(luò)通信數(shù)據(jù)，常用于保障數(shù)據(jù)庫(kù)連接的安全性。4.C解析思路：`GRANTSELECT...TO...;`是標(biāo)準(zhǔn)SQL語(yǔ)句，用于授予權(quán)限，明確指定了授予查詢（SELECT）權(quán)限、對(duì)象（table_name）和接收者（user_name）。5.D解析思路：數(shù)據(jù)庫(kù)審計(jì)日志主要記錄與數(shù)據(jù)庫(kù)安全相關(guān)的操作和事件，如用戶登錄、權(quán)限變更、SQL執(zhí)行等，通常不記錄服務(wù)器級(jí)的資源使用率（如CPU）。6.B解析思路：數(shù)據(jù)脫敏是指對(duì)原始數(shù)據(jù)進(jìn)行修改，使其在不影響數(shù)據(jù)分析或使用的前提下，隱藏部分敏感信息，如掩碼、替換、泛化等。7.B解析思路：在對(duì)稱加密中，如果密鑰長(zhǎng)度小于算法要求的長(zhǎng)度，通常會(huì)采用填充（Padding）等方式將密鑰擴(kuò)展到所需長(zhǎng)度，以確保加密強(qiáng)度。8.B解析思路：數(shù)據(jù)庫(kù)防火墻或Web應(yīng)用防火墻（WAF）可以過濾掉或阻止惡意流量，是防御網(wǎng)絡(luò)層攻擊（如DDoS）的有效手段。9.B解析思路：最小權(quán)限原則要求為每個(gè)用戶或進(jìn)程分配完成其任務(wù)所必需的最小權(quán)限集合，限制其操作范圍，減少安全風(fēng)險(xiǎn)。10.C解析思路：配置文件中意外包含敏感信息（如密碼）屬于敏感信息泄露的范疇，攻擊者獲取配置文件后可能利用這些信息訪問系統(tǒng)或數(shù)據(jù)庫(kù)。二、簡(jiǎn)答題1.解析思路：參數(shù)化查詢將SQL語(yǔ)句的結(jié)構(gòu)與數(shù)據(jù)分離。SQL語(yǔ)句以預(yù)定義的格式發(fā)送給數(shù)據(jù)庫(kù)，其中包含占位符（如`?`或命名參數(shù)），而數(shù)據(jù)則單獨(dú)傳遞。數(shù)據(jù)庫(kù)引擎負(fù)責(zé)將數(shù)據(jù)與SQL語(yǔ)句安全地綁定和執(zhí)行，這樣即使用戶輸入包含惡意SQL代碼，這些代碼也會(huì)被視為數(shù)據(jù)而不是SQL指令，從而被數(shù)據(jù)庫(kù)拒絕執(zhí)行，有效防止SQL注入。2.解析思路：提高遠(yuǎn)程數(shù)據(jù)庫(kù)連接安全性的配置或技術(shù)包括：使用TLS/SSL加密連接（配置證書）、使用強(qiáng)密碼并定期更換、限制數(shù)據(jù)庫(kù)服務(wù)器的防火墻規(guī)則只允許特定IP訪問、確保數(shù)據(jù)庫(kù)軟件和操作系統(tǒng)補(bǔ)丁更新、使用具有最小權(quán)限的數(shù)據(jù)庫(kù)用戶連接、考慮使用VPN隧道等。3.解析思路：鹽是一個(gè)隨機(jī)生成的、與密碼無(wú)關(guān)的字符串，它在哈希過程中與密碼組合在一起再進(jìn)行哈希運(yùn)算。使用鹽的主要目的是防止使用彩虹表等預(yù)先計(jì)算的哈希值進(jìn)行攻擊，即使兩個(gè)用戶擁有相同的密碼，由于鹽不同，它們的哈希值也會(huì)不同，增加了破解的難度。4.解析思路：數(shù)據(jù)庫(kù)審計(jì)日志的重要性在于提供安全事件的可追溯性，幫助識(shí)別和調(diào)查安全漏洞、內(nèi)部威脅或意外數(shù)據(jù)訪問/修改行為。關(guān)鍵信息類型包括：執(zhí)行操作的數(shù)據(jù)庫(kù)用戶身份、操作發(fā)生的時(shí)間戳、執(zhí)行的SQL語(yǔ)句或操作類型（如INSERT/UPDATE/DELETE）、影響的數(shù)據(jù)庫(kù)對(duì)象（表、記錄）、操作結(jié)果（成功/失?。?、客戶端IP地址等。5.解析思路：數(shù)據(jù)脫敏是通過對(duì)敏感數(shù)據(jù)進(jìn)行修改（如隱藏、遮蓋、替換、泛化）來保護(hù)個(gè)人隱私或商業(yè)機(jī)密的技術(shù)。目的是在數(shù)據(jù)共享或展示時(shí)，減少敏感信息泄露的風(fēng)險(xiǎn)。例如，對(duì)信用卡號(hào)進(jìn)行脫敏，只顯示卡號(hào)前四位和后四位，中間用星號(hào)替代（如`1234`）。三、編程實(shí)踐題1.解析思路：使用`psycopg2`庫(kù)通過`connect`函數(shù)建立安全連接，需要指定`sslmode`參數(shù)為`require`或更高級(jí)別（如`verify-full`），并確保傳遞了正確的數(shù)據(jù)庫(kù)連接信息（主機(jī)、端口、數(shù)據(jù)庫(kù)名、用戶名、密碼）。代碼應(yīng)包含異常處理。```pythonimportpsycopg2frompsycopg2.extrasimportRealDictCursortry:conn=psycopg2.connect(dbname='secure_db',user='secure_user',password='secure_password',host='',port='5432',sslmode='require'#或verify-full等，根據(jù)實(shí)際情況配置)#可以選擇設(shè)置游標(biāo)類型為字典游標(biāo)方便讀取#cursor=conn.cursor(cursor_factory=RealDictCursor)#cursor.close()#conn.close()exceptExceptionase:print(f"Errorconnectingtodatabase:{e}")```2.解析思路：使用`bcrypt`庫(kù)的`hashpw`函數(shù)進(jìn)行密碼哈希。該函數(shù)需要兩個(gè)參數(shù)：要加密的密碼（以字節(jié)串形式），以及鹽值（`bcrypt.gensalt()`生成）。函數(shù)返回加密后的哈希值（也是字節(jié)串）。需要先導(dǎo)入`bcrypt`庫(kù)。```pythonimportbcryptdefhash_password(plain_text_password,salt):#確保鹽是bytes類型ifisinstance(salt,str):salt=salt.encode('utf-8')#生成哈希值hashed_password=bcrypt.hashpw(plain_text_password.encode('utf-8'),salt)returnhashed_password```3.解析思路：修改代碼，使用`psycopg2`的參數(shù)化查詢功能。將表名和`user_id`從字符串拼接改為使用占位符`%s`，并在`execute`方法中傳遞參數(shù)列表。注意表名不能直接作為參數(shù)，如果表名不確定且來自用戶輸入，需要做嚴(yán)格的白名單驗(yàn)證或使用其他安全策略，此處假設(shè)表名可控或已驗(yàn)證。```pythonimportsqlite3defget_user_data(user_id):conn=sqlite3.connect('example.db')cursor=conn.cursor()#假設(shè)table_name已經(jīng)過驗(yàn)證或來自白名單table_name=input("Entertablenametoquery:")#使用參數(shù)化查詢，注意sqlite3的占位符是?query=f"SELECT*FROM{table_name}WHEREid=?"cursor.execute(query,(user_id,))#傳遞參數(shù)元組results=cursor.fetchall()cursor.close()conn.close()returnresults```4.解析思路：函數(shù)需要接收數(shù)據(jù)庫(kù)連接、表名和脫敏規(guī)則。使用SQL查詢獲取數(shù)據(jù)，然后根據(jù)脫敏規(guī)則處理結(jié)果。對(duì)于郵箱脫敏，可以正則表達(dá)式匹配郵箱，然后修改中間部分。假設(shè)脫敏規(guī)則是隱藏郵箱@前后的中間部分。需要導(dǎo)入`re`庫(kù)。```pythonimportpsycopg2importredefdesensitize_data(conn,table_name,desensitize_rule):try:cursor=conn.cursor()#示例：查詢email字段query=f"SELECTemailFROM{table_name}"cursor.execute(query)results=cursor.fetchall()desensitized_results=[]forrowinresults:email=row[0]ifdesensitize_rule=="email_middle":#使用正則匹配并脫敏郵箱中間部分if'@'inemail:username,domain=email.split('@',1)iflen(username)>2andlen(domain)>2:start=len(username)//3end=len(domain)//3masked_email=username[:start]+'*'+username[-start:]+'@'+domain[:end]+'*'+domain[-end:]desensitized_results.append((masked_email,))else:desensitized_results.append((email,))else:desensitized_results.append((email,))else:desensitize