4、如何确定你是否处于风险当中
    仅仅对简单和手工维护的已安装应用程序列表进行检查是不够的！因为数据库作为其他应用程序的组件常常是分布式的，管理员通常都意识不到数据库的存在。这就可能出现数据库补丁没有持续更新，或者处于易受攻击的默认配置当中的情况。这在SQL Slammer蠕虫攻击微软数据访问组件（MDAC）时得以生动的体现，该组件应用在许多应用程序中。
可以通过执行漏洞扫描来确定数据库管理系统（DBMS）软件是否是可用的，以及是否存在漏洞。你可以从数据库厂商获到通用脆弱性扫描器或工具，如MySQL网络扫描器（MySQL Network Scanner）、Microsoft SQL服务器工具。另外，微软基线安全分析工具（Microsoft Baseline Security Analyzer）也可以用为评估Microsoft SQL Server。

5、如何防止数据库系统漏洞
  (1) 应确保所有数据库管理系统打了最新的补丁，未更新或过期的版本很可能存在漏洞。应检查厂商站点的补丁信息。到目前为止，厂商公布的漏洞和警告信息如下：
a) Oracle Security Alerts (http://www.oracle.com/technology/deploy/security/alerts.htm )
b) MySQL (http://lists.mysql.com/)
c) PostgreSQL (http://www.postgresql.org/support/security)
d) Microsoft SQL (http://www.microsoft.com/technet/security/bulletin/notify.mspx)
e) IBM DB2 (http://www-306.ibm.com/software/data/db2/udb/support/)
f) IBM Informix (http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009130)

(2) 确保数据库管理系统和应用程序的安全：
a) 系统接入网络前，应删除/更改数据库特权和系统账号的默认密码。默认账号列表在互联网上可能找到；
b) 使用最小权限；
c) 尽量使用存储过程；
d) 删除/禁止不必要的存储过程；
e) 限止域长度；
f) 参见下面的章节对数据库管理系统进行加固。

(3) 使用防火墙或其他网络安全设备来限止对数据库服务相关端口的网络访问。
(4) 不要信任用户输入！确保连接到数据库的应用程序在服务器端过滤任何用户的输入，以避免SQL注入攻击（参http://www.sans.org/rr/whitepapers/securecode/23.php）