是否有任何SQL注入工具,所以我可以测试我的网站的漏洞?有什么好的吗?免费的会很好.
正如标题所说,我想听听你的意见,在为应用程序设计数据库之前,需要考虑哪些最重要的问题并询问最终用户.我们将制作面向数据库的应用程序,特别注意支付数据库安全性(访问控制,加密,完整性,备份)...数据库还将保留一些人员的个人信息,这被法律法规认为是敏感的,因此安全性一定很好.
我曾在数据库的学校项目上工作,但这是第一次"在现实世界中"工作,这种数据库安全性具有真正的意义.
所以我在互联网上找到了一些建议和问题,但在这里我总是得到最好的.所有帮助赞赏!谢谢!
我正在编写一个应用程序,主要目的是保持用户购买列表.
我想确保即使我作为开发人员(或任何完全访问数据库的人)也无法弄清楚某个人花了多少钱或者他已经购买了什么.
我最初想出了以下方案:
--------------+------------+-----------
user_hash | item | price
--------------+------------+-----------
a45cd654fe810 | Strip club | 400.00
a45cd654fe810 | Ferrari | 1510800.00
54da2241211c2 | Beer | 5.00
54da2241211c2 | iPhone | 399.00
user_hash(可能与盐渍等).如果有足够的用户,通过了解他的名字,几乎不可能知道特定用户花了多少钱.
这是明智的做法,还是我完全愚蠢?
我错误地删除了所有用户的mysql ...所以我无法连接到mysql.
有没有人有想法?
我尝试重新安装它,但它不起作用......
PS:我在Archlinux上.
提前致谢 !
我正在尝试实现一个加密列,如下面的MSDN 示例所示。除了第一行之外,我理解大部分代码:
--If there is no master key, create one now.
IF NOT EXISTS (SELECT * FROM sys.symmetric_keys WHERE symmetric_key_id = 101)
当我在本地计算机上的 AdventureWorks 数据库上运行它时,密钥已经存在,这很好;我的示例在我的机器上运行良好并正确加密/解密。然而,在该代码中,任何时候都 没有提及任何内容symmetric_key_id。101
是否有101某种对称密钥的保留 ID?
我正在创建一个Access 2010数据库,并希望在并发性和安全性方面做一些澄清.我想要的是在启动应用程序时只显示一个菜单表单,其中包含一个按钮,包括登录按钮.大多数按钮将被禁用,直到用户根据其权限组登录此时为止; 观众(Deafault),工作者,编辑,管理员.
此外,Admin应该是唯一能够查看访问数据库的人,而其他人仅限于查看表单.
我只是测试默认的并发实现,但将我的数据库保存到共享网络,让我自己和同事尝试访问它.如果一个人访问了数据库,就会发现它与其他人锁定了它,如果我们两个同时尝试它,它就会变成只读状态.
所以我只是在寻找如何开始这个的提示.
我有一个数据库,我想保留在主域,但阻止域管理员写入它.读访问不是问题.为此,看起来我必须确保任何具有写入权限的帐户仅使用SQL登录(因为域管理员可以重置任何其他域帐户的密码).我确实意识到这有其他安全隐患.另一个问题是Windows服务器上的管理员获取数据库mdf文件并将其附加到另一个实例并修改数据库内容,然后替换原始服务器上的mdf.我首先想知道这是否可能,还是需要通过sql server重新连接?
由于服务器仍在域中,因此域管理员显然是服务器上的管理员.是否还有其他方法可以获得我应该担心的数据库写访问权限(例如删除master数据库mdf)?
database sql-server security database-security windows-server-2008
如果我们在AWS中拥有只能从专用子网中的EC2访问的MySQL RDS,那么从安全角度(使用默认RDS加密)对其进行加密是否有任何好处。因为某人访问DB的唯一方法是当他进入AWS的私有子网时,在那种情况下加密和不加密无济于事,因为无论如何黑客都可以从EC2访问数据。然后,唯一的区别就是加密RDS将使他花费更多时间转储数据并将其复制到其他地方以供他使用。否则,加密私有RDS实例还有什么其他好处?假设数据库的唯一备份是使用默认数据库实例备份的AWS本身,那么没有人也可以直接从数据库备份访问数据。
我正在使用 Azure KeyVault 来存储我的数据库凭据,现在要访问它,我在服务代码中硬编码了客户端 ID 和客户端密码。我怎样才能避免这种硬编码,因为它不安全?
1) I don't want to store client id and client secret in certificates, as
deployed certificates are again insecure
2) My app is not hosted on Azure App service, so I can't use App Settings to
store client id and client secret.
有没有办法让 Azure Active Directory 仅在从我的应用程序 URL 发出请求时返回访问令牌?else 我如何保护客户端 ID 和客户端机密免受黑客攻击
security database-security clientid azure-active-directory azure-keyvault
我们如何在Firestore中设置不同的数据库/命名空间?这有助于构建多租户SaaS产品.