数据库安全事故的层出不穷，诸如银行内部数据泄漏造成资金失密、信用卡信息被盗用导致的系用卡伪造、 12306大量用户身份信息泄露，知名连锁酒店海量开房信息泄露 ……等等

普通的黑客从进入到退出一次数据攻击只需用不到10秒钟时间就可完成，这个时间对于数据库管理员来说即使注意到入侵者都不够。因此，在数据被损害很长时间之前，许多数据库攻击都没有被注意到。

那么常见的数据库入侵手段都有哪些？我们又该如何进行防范呢？

1.对弱口令或默认用户名/口令的破解：

　　以前的Oracle数据库有一个默认的用户名：Scott及默认的口令：tiger;而微软的SQL Server的系统管理员账户的默认口令是也是众所周知。

　　当然这些默认的登录对于黑客来说尤其方便，借此他们可以轻松地进入数据库。

　　Oracle和其它主要的数据库厂商在其新版本的产品中表现得聪明起来，它们不再让用户保持默认的和空的用户名及口令等。但这并不意味着,所有的组织都在较老的数据库中敞开着大门。

　　Forrester的Yuhanna说，“问题是企业拥有15000个数据库，而完全地保护其安全并不容易。有时企业只能保障关键数据库的安全，其它的就不太安全了。现在，较新的数据库强制使你在安装时改变系统管理员账户的默认口令。但较老的数据库版本可能存在着问题。”

　　但即使是唯一的、非默认的数据库口令也是不安全的。Sentrigo的 Markovich 说，“你总可以在客户那里找到弱口令和易于猜测的口令。通过强力破解或只试着用不同的组合就可以轻易地找到这种口令。”

　　口令破解工具有很多，并且通过Google搜索或sectools.org等站点就可以轻易地获得,这样就会连接到Cain 、 Abel或John theRipper等流行的工具。

　　保护自己免受口令攻击的最佳方法：避免使用默认口令，建立强健的口令管理程序并对口令经常改变。