为何要关注数据库安全呢？ 如果说网络遍地是金钱，那么金钱就在数据库服务器中。当我们说现代经济依赖于计算机时，我们真正的意思是说现代经济依赖于数据库系统。数据库躲在几乎影响着我们生活的每一方面的系统背后—— 我们的银行账户、医疗记录、养老金、工作履历、电话记录、纳税记录、汽车登记明细、超市购物及子女的学习成绩—— 几乎生活中的每条重要信息都保存在现代关系数据库管理系统中。本书涵盖了7个主流关系数据库系统，您的私人信息或许碰巧正保存在某个系统中，而该系统正是本书的一个主题。 我们(本书的作者)认为数据库安全是一个最重要的信息安全问题。如果数据库系统(我们绝对相信这个系统可以保存最敏感的数据)不安全的话，这对我们的生活乃至社会的潜在影响可能是毁灭性的。 那么，我们为什么要出版一本描述数据库攻击方法的书呢？我们只是想将这个信息传递给数据库管理员、安全专家和网络审计员，以便于从事系统防御工作的人们能够更充分地了解别人是如何攻击他们的。我们正在提防着的那些人已经充分了解了如何进行攻击，他们持续的侵犯就依赖于这个事实。本书不可能教会他们一些他们尚不知道的知识。与大多数软件开发商已经使您相信的事实相反，发现安全bug并不十分困难。独立研究者每报告给开发商一个bug，就有可能存在好几个bug没有被知道它们的人告知给开发商。我们相信，防御您的网络和数据库免受这些未知bug的攻击的最佳方式是，细致地理解已知bug的技法，并尝试创建可阻止这类bug的配置，而不是简单地安装补丁和希望无人攻击您。 数据库保护常常采用试验并测试的原理，这一原理已经在网络安全中使用了几十年 —— 实施权限最小化，通过删除不必要的功能减少“攻击面”，严格限制身份验证和访问控制，将功能划分成不同区域，实施加密……惟一真正不同的是，在数据库中，这些机制作用于数据库自身的微型世界。 阅读开发商提供的关于安全的文献十分有用，并且现代数据库所实现的诸多安全措施也令人感到放心。几乎所有的数据库系统都有权限概念、访问控制、全面的审计工具和可控制的系统访问组件。数据库开发商竞相获取安全认证来证明他们已经恰当地实现了这些机制。问题是尽管这些认证很重要，但它们仅仅是问题的一部分而决不是最重要的部分。 本书所讨论的所有数据库都存在缓冲区溢出问题，而缓冲区溢出违反了几乎所有的安全机制。我们将信心建立在安全标准、评估和鉴定上是行不通的，我们应该采取实际行动来维护数据库系统的安全，这正是本书的全部内容。