关闭 x
IT技术网
    技 采 号
    ITJS.cn - 技术改变世界
    • 实用工具
    • 菜鸟教程
    IT采购网 中国存储网 科技号 CIO智库

    IT技术网

    IT采购网
    • 首页
    • 行业资讯
    • 系统运维
      • 操作系统
        • Windows
        • Linux
        • Mac OS
      • 数据库
        • MySQL
        • Oracle
        • SQL Server
      • 网站建设
    • 人工智能
    • 半导体芯片
    • 笔记本电脑
    • 智能手机
    • 智能汽车
    • 编程语言
    IT技术网 - ITJS.CN
    首页 » SQL语言 »当心懒惰的程序员降低你的数据库安全

    当心懒惰的程序员降低你的数据库安全

    2015-10-20 00:00:00 出处:ITJS
    分享

    在我最近撰写的一本书中,我尝试着为菜鸟SQL Server管理员解释SQL Server的安全性。必须承认的一点是,很少有应用程序是以SQL Server安全所希望的方式来进行编写的。我把问题归咎于懒惰的数据库开发人员。

    不 足为奇的是,这本书早期的评审就是几个开发人员,而且对我的评论表现出了反感。有一个人写到,“SQL Server 并非唯一的数据库,我编写的代码还必须要与Oracle相匹配。”换句话说,要取代对每个数据库平台安全的特定考量,他只要采用最低标准即可,因为它简单 易行,而且不用考虑对用户产生的影响。

    你需要意识到数据库开发人员和厂商的态度,而且你需要与其抗争。

    当心懒惰的程序员降低你的数据库安全

    数据库安全技术最低的标准是在数据库中只创建一个用户账户,然后让每个应用程序副本都使用此单一用户账户登录。此应用程序会实现其自身的“安全性”,对于微软,Oracle以及其他平台公司数以百记专家开发出来的平台安全性,我是确信它是健壮的。

    此方法的问题主要体现在以下几个重要方面:

    审计:当只有一个用户账户可以访问数据的时候,你无法知道到底是谁在操作。当然,应用程序可以实现其自身的审计跟踪,但是任何有相关知识的用户假如拥有账户名和密码都可以绕过审计跟踪。

    安全性:将用户名和密码嵌入进一个连接字符串使其不易让人发现信息。现成的工具可以在几秒钟内反编译常见的企业应用程序,这使得连接字符串和其密码都采取了明文的方式。

    故障排除:由于你不能将一个单独的数据库连接指定给某个人,因此很难对性能和操作问题进行故障排除。当一个用户抱怨运行缓慢的时候,管理员也无法准确定位问题。这就意味着问题会持续更长的时间。

    而 对于一个开发人员来说,换做让他的应用程序使用SQL Server自带安全几乎是不费吹灰之力。只需要对主连接字符串做出更改,移除用户名和密码并让用户的Windows登录凭证加以通过。在大多数环境中, 除了授权服务器端的权限让人们可以读写必要的数据之外,这都是数据库管理员所需要做的。你会利用SQL Server自己的审计功能,更好的进行故障排除,并且对于每个应用程序副本中嵌入的全能用户不提供明文密码来提升安全性。

    那么你要如何与 最低标准的数据库安全技术相对抗呢 很简单。建立采购标准。确保新应用程序使用SQL Server的Windows身份验证机制。改变现有的应用程序。你可能需要和厂商制定一个时间表或是让他们了解到丰厚的“维护费用”收入不是那么好赚 的。掌控你的环境——有些人可以为你提供最好的安全性但这对他们而言一切都很简单,不要把公司交给这种人。

    上一篇返回首页 下一篇

    声明: 此文观点不代表本站立场;转载务必保留本文链接;版权疑问请联系我们。

    别人在看

    正版 Windows 11产品密钥怎么查找/查看?

    还有3个月,微软将停止 Windows 10 的更新

    Windows 10 终止支持后,企业为何要立即升级?

    Windows 10 将于 2025年10 月终止技术支持,建议迁移到 Windows 11

    Windows 12 发布推迟,微软正全力筹备Windows 11 25H2更新

    Linux 退出 mail的命令是什么

    Linux 提醒 No space left on device,但我的空间看起来还有不少空余呢

    hiberfil.sys文件可以删除吗?了解该文件并手把手教你删除C盘的hiberfil.sys文件

    Window 10和 Windows 11哪个好?答案是:看你自己的需求

    盗版软件成公司里的“隐形炸弹”?老板们的“法务噩梦” 有救了!

    IT头条

    公安部:我国在售汽车搭载的“智驾”系统都不具备“自动驾驶”功能

    02:03

    液冷服务器概念股走强,博汇、润泽等液冷概念股票大涨

    01:17

    亚太地区的 AI 驱动型医疗保健:2025 年及以后的下一步是什么?

    16:30

    智能手机市场风云:iPhone领跑销量榜,华为缺席引争议

    15:43

    大数据算法和“老师傅”经验叠加 智慧化收储粮食尽显“科技范”

    15:17

    技术热点

    SQL汉字转换为拼音的函数

    windows 7系统无法运行Photoshop CS3的解决方法

    巧用MySQL加密函数对Web网站敏感数据进行保护

    MySQL基础知识简介

    Windows7和WinXP下如何实现不输密码自动登录系统的设置方法介绍

    windows 7系统ip地址冲突怎么办?windows 7系统IP地址冲突问题的

      友情链接:
    • IT采购网
    • 科技号
    • 中国存储网
    • 存储网
    • 半导体联盟
    • 医疗软件网
    • 软件中国
    • ITbrand
    • 采购中国
    • CIO智库
    • 考研题库
    • 法务网
    • AI工具网
    • 电子芯片网
    • 安全库
    • 隐私保护
    • 版权申明
    • 联系我们
    IT技术网 版权所有 © 2020-2025,京ICP备14047533号-20,Power by OK设计网

    在上方输入关键词后,回车键 开始搜索。Esc键 取消该搜索窗口。