这是我的基本设置...
我有一个网站,将用于员工登录,并提交时间表表单、购买等内容。该网站是用一些基本的 HTML 编写的,然后在后端有一些 PHP 来运行一些 SQL 查询来拉/发送与网站托管在同一服务器上的 Microsoft Access 数据库的一些信息。
我的问题是……如果有人获得了登录网站的员工密码,他们查看我的数据库内容有多容易?老实说,我没有直觉或线索来指导我,所以我正在寻求帮助。目前设置这里真的没有保护,所以如果很容易访问数据库,我想要一些关于如何保护它的指针。
问问题
174 次
2 回答
1
如果有人获得了登录网站的员工密码,那么他们查看我的数据库内容有多容易?
这一切都取决于权限和连接字符串。与我在下面发布的内容相同的风险适用于上述场景,但是拥有有效的凭据肯定可以更容易地访问数据库。
即使他们没有得到某人的密码,如果该网站易受 SQL 注入攻击,某人也有可能访问您的数据库。
有太多变量无法完全涵盖在此论坛上保护您的数据库。但这里有几个很好的起点。
- SQL 注入的一般概述(您将面临的事情之一。)
- OWASP 2010 年十大漏洞列表(每隔几年更新一次,OWASP 网站是安全信息的必读内容)
- IBM 对安全 PHP 编码的建议。
最后,我知道您说您使用的是 PHP,而不是 ASP.NET,但无论如何我都会建议使用以下链接。它不仅仅是代码,包括威胁建模、常见风险等。即使您不是 .NET 开发人员,它也是一个极好的资源。
于 2012-08-27T19:58:33.183 回答
0
您应该问自己的第一个问题是用户是否有可能影响您发送到数据库的 SQL 查询。这是最危险的情况。
于 2012-08-27T19:59:37.463 回答