Oracle最近发布了今年的第一批安全补丁，这一批补丁共计修复了270个漏洞，在数据库方面，在广泛使用的MySQL数据库服务器中修补了27个漏洞，在Oracle数据库服务器和相关组件中修补了5个漏洞。

在数据库面临的安全威胁中，数据库漏洞攻击和SQL注入是两种最为常见的攻击手段，而在漏洞供给方面，危害性较大的一类是缓冲区溢出漏洞。

2016年3月8日，某电商平台的ERP 系统遭到黑客攻击，事件中使用的SQL注入攻击是数据库安全攻击中几乎最常见的SQL注入。基于安华金和数据库安全攻防实验室的技术分析和模拟攻击过程还原……

前文我们介绍了两种Oracle游标的数据库安全隐患，一是利用游标的挂起状态进行恶意代码注入，二是利用恶意代码注入进行提权，其实通过游标获取高权限账号的密码完全不用这么麻烦，oracle在游标设计上本身就有安全问题。

前文中我们提到Oracle游标的数据库安全隐患之一，如果由于人为原因没有及时关闭游标，黑客可以通过对制造异常，使游标持续处于被挂起状态，然后进行恶意代码注入。

数据库游标概念的引入，使数据库操作更加灵活，但同时也为黑客入侵提供了便利。安华金和数据库安全攻防实验室（DBSec Labs）以Oracle游标为主要分析对象……

前文中我们对数据库安全面临的威胁进行了多方面分析，按照威胁来源介绍了人为使用不当和数据库自身安全问题两大类，今天我们简单来说第三类数据库安全威胁：第三方恶意组件。

在所有的数据库安全威胁攻击手段中，SQL注入是其中非常典型的攻击方法，也是目前数据库面临的几大主要安全威胁之一。

2016年4月26日，继2012年Struts2命令执行漏洞大规模爆发后，该服务时隔四年再次爆发大规模漏洞。

数据库自身的安全漏洞我们已经分析了三种，本文将对最后一类漏洞进行介绍：SQL编程组件的安全问题。