我正在为一家初创公司创建一个规范,以创建一个金融经纪人检查网站。它涉及存储有关财务顾问的信息和用户的付款详细信息(因此显然需要很多安全性)。什么样的数据库最适合应用程序。MySQL 或其开源变体是否足够,或者与 Oracle Enterprise 等一起使用是否更好。还有关于在这种情况下应用程序服务器相对于传统 Web 服务器(基于云或普通)的有用性以及首选脚本语言(PHP、Ruby)的任何信息, Python) 用于安全的 Web 应用程序。
问问题
84 次
1 回答
0
您选择的语言、数据库等对您的应用程序的安全性影响相对较小。开发人员对如何编写安全代码的理解以及开发人员对其工具提供的功能的理解要重要得多。在开源 LAMP 堆栈上编写安全应用程序是完全可能的。在完全封闭的源代码栈上编写安全应用程序是完全可能的。在任何堆栈上编写不安全的应用程序也很容易。
像 Oracle 这样的企业数据库将(取决于版本、许可的选项和购买的附加组件)提供许多可能有用的安全功能。您可以对静态数据进行透明加密,可以在数据通过网络流向应用服务器时对其进行加密,可以防止 DBA 查看敏感数据,可以审计 DBA 和其他用户的操作等。但是这些事情只有在您开始编写一个相当安全的应用程序时才会真正发挥作用。例如,如果您的应用程序容易受到 SQL 注入攻击并且很容易被黑客入侵以将所有解密的数据呈现给攻击者,那么加密所有数据对您没有什么好处。
于 2012-07-10T17:08:06.913 回答