89得票6回答
存储过程能够防止SQL注入吗?

存储过程是否真的可以防止针对PostgreSQL数据库的SQL注入攻击?我做了一些研究,发现SQL Server、Oracle和MySQL即使只使用存储过程也无法安全防御SQL注入。然而,这个问题在PostgreSQL中并不存在。 PostgreSQL核心中的存储过程实现是否能够防止SQL注...

43得票4回答
如何在SQL Server 2008中为整个活动目录组分配安全访问权限?

我想在我的内部应用程序中使用集成安全,该应用程序全部位于一个域中。不幸的是,我从未能够使其正常运转。我希望为整个Exchange(Active Directory)组分配一个在SQL Server中具有对特定表的读写访问权限的角色。这样,每当有人被雇佣或解雇时,我就不必创建或删除操作员。这种做...

38得票3回答
登录已经有一个属于不同用户名的账户。

当我执行这个SQL时: USE ASPState GO IF NOT EXISTS(SELECT * FROM sys.sysusers WHERE NAME = 'R2Server\AAOUser') CREATE USER [R2Server\AAOUser] FOR LOGIN [R2...

36得票1回答
MySQL: 为什么mysql.db中会有"test"条目?

最近,我在一个关于mysql.db的问题上发布了一个答案。 然后,我开始思考是否应该向大家提出这个问题: 多年来,我注意到在安装MySQL 5.0+时,mysql.db会被填充两个条目,允许匿名用户访问测试数据库。 您可以通过运行以下查询来查看它: mysql> select *...

35得票2回答
新工作的第一天 - 检查备份和安全性 - 如何操作?还应该检查什么?

通常,当我进入一个新的环境时,我倾向于检查备份的位置、最近一次完整备份的时间、上次还原应用的时间,并且我也会检查安全性。 我使用T-SQL来完成这些操作。 检查备份的方式如下: ;with Radhe as ( SELECT @@Serverna...

31得票6回答
SQL Server与新的TLS标准兼容性

主要的浏览器正在摆脱SSL3.0和TLS1.0。PCI安全委员会已宣布这些协议的生命周期结束,认为它们不再具备足够强大的加密能力。 我们需要摒弃这些协议,采用更新且更强大的协议。在Windows服务器上,您可以很容易地禁用这些旧协议,只提供TLS1.1或更高版本。然而,正如其他地方所指出的,...

29得票4回答
为什么操作系统认证被认为是Oracle数据库的低安全性? 操作系统认证被认为是Oracle数据库的低安全性,主要有以下几个原因: 首先,操作系统认证只依赖于操作系统的用户和密码来验证用户身份。这种方式容易受到暴力破解、字典攻击等常见的密码攻击手段的影响。相比之下,Oracle数据库提供的身份验证机制更加复杂和安全,可以使用更强大的密码策略和加密算法来保护用户账户。 其次,操作系统认证无法提供细粒度的访问控制。在Oracle数据库中,可以通过角色、权限和资源限制等方式对用户进行精确的权限管理。而操作系统认证只能提供基本的用户级别访问控制,无法满足复杂的安全需求。 此外,操作系统认证也存在单点故障的风险。如果操作系统的用户和密码被泄露或者被黑客攻击,那么所有连接到该操作系统的Oracle数据库都将面临安全威胁。而使用Oracle数据库自带的身份验证机制,可以实现独立的用户账户管理,降低了单点故障的风险。 综上所述,尽管操作系统认证在某些情况下可能会提供一定的便利性,但从安全性角度考虑,使用Oracle数据库自带的身份验证机制更为可靠和安全。

Oracle正在废弃操作系统认证,根据《Oracle数据库安全指南》所述: “请注意,REMOTE_OS_AUTHENT参数在Oracle Database 11g Release 1 (11.1)中已被弃用,仅为向后兼容性而保留。” 此外,大多数安全信息和工具都认为OS(外部)认证是一个...

27得票8回答
一个查询,列出给定登录的所有映射用户。

当查看特定登录属性时,可以看到映射到该登录的用户列表: 我对SQL Server Management Studio (SSMS) 进行了分析,发现SSMS一次连接一个数据库,并从sys.database_permissions中检索信息。 是否可能编写一个单一查询来检索上述显示的用户映...

25得票8回答
为什么允许每个人使用sa登录是一个不好的做法? 为什么让每个人都可以使用sa登录是一个不良的实践呢?

即使微软不建议使用SQL Server身份验证模式, 但我们的应用程序需要它。 我已经读到最佳实践是不让用户直接使用 sa 登录,而是使用Windows身份验证,并允许这些帐户(或帐户组)具有sysadmin特权。 那不是本质上相同的事情吗?有什么优缺点? 最佳实践如何增强我的SQL S...