问题标签 [database-security]

默认情况下，如果您通过有权访问 10 个数据库中的 1 个的帐户连接到远程 SQL Server。您仍然会在对象资源管理器中看到所有其他数据库，显然由于权限您无法实际查询它们，但您可以看到它们的名称。

我听说有一种方法可以禁用此行为，但我一直无法找到答案，有人知道该怎么做吗？举个例子，我有一个名为 MyDbServer 的 SQL Server，它有 4 个数据库，

1. 我的数据库
2. 你的数据库
3. 私有数据库
4. 真正的私人数据库

如果您通过仅具有“YourDatabse”权限的帐户连接，您仍将看到所有其他数据库的列表，尝试查询将授予“选择”权限被拒绝或类似错误。

出于安全考虑，我们不希望用户看到他们映射到的数据库以外的任何数据库。

我在 SQL Server 2000 标准版中有一个名为“dbo.T668”的表（不要因为命名约定而责备我）。

我正在使用 SQL Server Management Studio 2005 在服务器上工作，出于某种奇怪的原因，我在表列表中根本看不到该表。我看到所有其他表，但不是这个。

如果我打开查询编辑器并键入“select * from dbo.T668”，它会返回所有记录，所以我有权访问表格并从中选择 - 是否有允许您访问表格的设置但在 SQL 管理器中看不到？或者这是 SQL 2000 和 SQL 2005 之间的不兼容？

我正在开发 Flash 游戏的后端，我需要保护进入记分板的数据。

该游戏将在横幅广告中托管在许多网站上，用户将在广告中玩游戏，然后点击进入主站点以保存他们的详细信息。

目前我正在考虑这个问题

1. 用户玩游戏并点击提交他们的分数
2. 在后台，横幅将分数和原始域发送到主站点上的脚本。
3. 脚本检查域是托管广告的有效域之一。
4. 如果一切正常，脚本会创建此分数和域的哈希值，并将其与分数一起存储在数据库中。
5. 该脚本将哈希返回给 Flash，Flash 将其拼凑到打开主记分板的 getURL 的查询字符串中
6. 记分牌页面会检查引用者以确保它是有效域之一。
7. 如果是，则检查数据库的哈希值是否是有效令牌
8. 然后用户填写他们的详细信息并根据哈希更新记录

上次我检查 FLash 不发送推荐人信息时，这有点让我的计划陷入困境。那么，这种 Flash/Database 交互是否已经建立了模式？

我应该在第 4 步中使用哪种散列/校验和？这种操作的正确名称是什么，是哈希、校验和还是其他什么？

我知道作为一种客户端技术，Flash 永远不会真正那么安全，但在我看来，像上面这样的东西与你要破解这种应用程序一样困难。

更新：我的主要目标是让人们更难找到将分数添加到数据库的脚本的 URL，并简单地用虚假分数发送垃圾邮件。

谢谢，格雷格

我想运行一个报告以确保每个用户的密码设置为每 30 天过期一次，但过期间隔似乎没有存储在 syslogins 中？

我有两个使用集成安全的应用程序。Integrated Security = true一个在连接字符串中赋值，另一个在Integrated Security = SSPI.

集成安全性之间SSPI和上下文中的区别是什么？true

我想开发一个 Web 应用程序来收集或交换敏感或个人数据。

该系统将为用户提供详细的自动报告：

• 用户网站的安全性如何？
• 它有多容易被黑客入侵？
• 问题究竟出在哪里？
• 有哪些补救措施？

这是场景。我有一个 SQL Server 2005 生产数据库/服务器。它目前有可以连接到它的开发人员和支持者。我需要创建一个安全模块，让开发人员可以只读访问数据库的所有区域。这意味着开发人员应该能够查看所有对象以及仅计划的活动/作业。

是否有可能以这种方式启用安全性，如果可以，我可以温和地指导我如何实现这一点。我正在学习成为一名 DBA，并且不能创建数据库快照。

谢谢大家。

我正在制作使用数据库（mysql）的桌面应用程序（我们称之为应用程序）。更多应用的用户共享一个数据库用户。示例：John 和 Mike 应用程序用户以“dbuser”等身份连接到数据库。

问题是：如何有效地为数据库用户保存密码？（应用程序用户的密码存储在数据库中）。

我找到了可能的解决方案： 1. 在代码中 - 这实际上很愚蠢 :D 2. 在文本 INI 文件中 - 易于阅读！3.在外部文件中加密-很好，但需要访问应用程序。

如果我不小心双重转义一个字符串，数据库会受到伤害吗？

出于这个问题的目的，假设我没有使用存储过程或参数化查询

例如，假设我得到以下输入：

我逃避了这一点：

但是我的代码很糟糕，并且再次转义：

现在，如果我将其插入数据库，则数据库中的值将是

虽然不是我想要的，但不会损害数据库。假设我采取了所有其他必要的安全预防措施，任何双重转义的输入是否有可能对数据库造成恶意？

我现在在大学的最后一年写论文。我需要研究的领域之一是网站和数据库的安全性。我目前有以下部分：

• 网站
  • 表单安全——比如数据验证。本节更多的是关于尽可能防止合法用户犯的错误，而不是阻止黑客，例如将字段与正则表达式进行比较，并对确实发生的任何错误给予有意义的反馈，以阻止它再次发生。
  • 约束。例如，如果一个值必须为真或假，则使用复选框。如果它可能是几个值之一，则使用下拉列表或一组单选框，依此类推。如果值不可预测，则使用正则表达式来限制允许输入的字符，并限制字符串的长度，有时还限制格式（例如日期/时间、邮政编码等）。
  • 有时您可以限制表单的权限。这是在您确切知道谁（无论是人名还是一群人 - 例如管理员或员工）将需要访问表单的情况下。限制权限将阻止公众成员访问表单。
  • 应该过滤掉可能被恶意使用或导致网站行为不正确的符号或字符串（例如脚本标签）或进行 html 编码。
  • 验证码图像可用于防止自动化系统填写和提交表单。
  • 文件上传有一些黑客攻击 - 例如使用双扩展名 - 这可能允许黑客上传恶意文件。
• 数据库（这还远未完成，但我计划的部分在下面列出）
  • SQL 语句与存储过程
  • 当其中一个变量包含特定字符或字符组时抛出错误（我不记得它们是什么字符，但在我尝试将 html 或其他内容输入文本区域之前，我已经看到一条消息向我抛出）。
  • SQL 注入 - 及其解决方法，并附有一些示例。

有没有人有关于我可以去哪里获得一些关于这些领域或我可以涵盖的其他安全领域的体面、可靠的信息的任何提示和技巧？

提前致谢。

问候，

理查德

PS 在安全方面我是一个完全的新手，所以请耐心等待。如果我提供的任何信息有误或可能被细分，请随时说出来。