Zezwalanie użytkownikom na dostęp tylko do danych, do których mają dostęp. Obejmuje także ochronę danych podczas ruchu w sieci oraz przechowywanie na dyskach i kopiach zapasowych.
Czy to prawda, że procedury przechowywane zapobiegają atakom typu SQL injection na bazy danych PostgreSQL? Zrobiłem trochę badań i odkryłem, że SQL Server, Oracle i MySQL nie są bezpieczne przed iniekcją SQL, nawet jeśli używamy tylko procedur przechowywanych. Jednak ten problem nie występuje w...
Chciałbym zastosować zintegrowane zabezpieczenia z moją wewnętrzną aplikacją, która jest w domenie. Niestety, nigdy nie byłem w stanie sprawić, żeby działał dobrze. Chciałbym przypisać całej grupie Exchange (Active Directory) rolę w SQL Server dla dostępu do odczytu / zapisu do niektórych tabel. W...
Niedawno opublikowałem odpowiedź na pytanie dotyczące mysql.db . Potem pomyślałem, że powinienem zadać wszystkim to pytanie: Od lat zauważyłem, że po instalacji MySQL 5.0+ mysql.dbzapełniają go dwa wpisy, które umożliwiają dostęp do testowych baz danych przez anonimowych użytkowników. Możesz to...
Zasadniczo, kiedy zaczynam w nowym środowisku, zwykle sprawdzam, gdzie są kopie zapasowe, kiedy została zapełniona ostatnia pełna, kiedy zastosowano ostatnie przywracanie, a także sprawdzam bezpieczeństwo. W ten sposób robię to za pomocą T-SQL. Sprawdź kopie zapasowe ;with Radhe as ( SELECT...
Scenariusz : otrzymałeś kopię zapasową bazy danych i kazałeś przywrócić ją na serwer (który już hostuje inne bazy danych), ale nie otrzymałeś żadnych użytecznych informacji o tym, co zawiera kopia zapasowa ani czy należy zaufać źródłu. Pytanie 1 : Jakie są potencjalne konsekwencje przywrócenia...
Główne przeglądarki wychodzą poza SSL3.0 i TLS1.0. Rada Bezpieczeństwa PCI ogłosiła datę wygaśnięcia ważności tych protokołów, aby można je było uznać za wystarczająco silne szyfrowanie. Musimy odejść od tych protokołów, aby korzystać z nowszych i silniejszych. Na serwerach Windows można bardzo...
Kiedy wykonuję ten SQL: USE ASPState GO IF NOT EXISTS(SELECT * FROM sys.sysusers WHERE NAME = 'R2Server\AAOUser') CREATE USER [R2Server\AAOUser] FOR LOGIN [R2Server\AAOUser]; GO Otrzymuję następujący błąd: Login ma już konto pod inną nazwą użytkownika. Skąd mam wiedzieć, jaka jest inna...
Oracle wycofuje uwierzytelnianie systemu operacyjnego zgodnie z Oracle Database Security Guide , który mówi Należy pamiętać, że parametr REMOTE_OS_AUTHENT został uznany za przestarzały w Oracle Database 11g Release 1 (11.1) i jest zachowany tylko dla kompatybilności wstecznej. Ponadto...
Nawet Microsoft odradza korzystanie z trybu uwierzytelniania SQL Server , ale nasze aplikacje tego wymagają. Przeczytałem, że najlepszą praktyką jest nie zezwalanie użytkownikom na sabezpośrednie logowanie, zamiast korzystania z uwierzytelniania systemu Windows i zezwalania tym kontom (lub grupom...
Zgubiłem hasło sa na komputerze, a kiedy loguję się na komputerze bezpośrednio przy użyciu konta w grupie administracyjnej, SQL Server Management Studio nie pozwoli mi zalogować się przy użyciu uwierzytelnienia Windows. Moim planem było po prostu zalogować się na serwerze, połączyć za pomocą...
To pytanie zostało przeniesione z Przepełnienia stosu, ponieważ można na nie odpowiedzieć w Administratorze baz danych stosu wymiany. Migrował 7 lat temu . Mam zadanie na moim serwerze MSSQL 2005, że chcę pozwolić każdemu użytkownikowi bazy danych na uruchomienie. Nie...
Testuję odporność na ataki z zastrzyków na bazę danych SQL Server. Wszystkie nazwy tabel w bazie danych są pisane małymi literami, a w sortowaniu rozróżniana jest wielkość liter , Latin1_General_CS_AS . Ciąg, który mogę wysłać, jest wymuszony dużymi literami i może mieć maksymalnie 26 znaków. Nie...
Moje pierwsze pytanie, proszę, bądź łagodne. Rozumiem, że konto sa umożliwia pełną kontrolę nad SQL Server i wszystkimi bazami danych, użytkownikami, uprawnieniami itp. Jestem absolutnie przekonany, że aplikacje nie powinny używać hasła sa bez perfekcyjnego, skoncentrowanego na biznesie powodu,...
Historycznie zaleca się, aby nie używać domyślnych portów do połączeń z SQL Server, jako część najlepszej praktyki bezpieczeństwa. Na serwerze z pojedynczą, domyślną instancją domyślnie używane będą następujące porty: Usługa SQL Server - Port 1433 (TCP) Usługa przeglądarki SQL Server - Port 1434...
Przeglądając właściwości konkretnego logowania, można zobaczyć listę użytkowników zmapowanych na ten login: Profilowałem SQL Server Management Studio (SSMS) i widzę, że SSMS łączy się z każdą bazą danych pojedynczo i pobiera informacje z sys.database_permissions Czy jest możliwe napisanie...
Mamy następującą konfigurację: Wielokrotna produkcyjna baza danych zawierająca prywatne dane, z których korzysta oprogramowanie komputerowe Internetowa baza danych publicznej witryny internetowej, która potrzebuje danych z prywatnych baz danych Pośrednia baza danych, która zawiera kilka widoków...
Patrząc na strukturę większości witryn opartych na PHP / MySQL, które widziałem, wydaje się, że nie jest strasznie trudno rozpoznać hasło do bazy danych, jeśli trochę kopiesz, ponieważ zawsze jest plik instalacyjny lub konfiguracyjny, w którym przechowywane są informacje do logowania do DB. Jakie...
Mam użytkownika otrzymującego ORA-28002 wskazujący, że hasło wygaśnie w ciągu sześciu dni. Uruchomiłem następujące: ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME UNLIMITED; Ale kiedy próbuję zalogować się jako użytkownik, wiadomość nadal tam jest. Wykonując to: select * from dba_profiles where...
Mam aplikację do wdrożenia w środowisku produkcyjnym, która korzysta z zabezpieczeń „systemu honoru”. Oznacza to, że wszyscy użytkownicy łączą się z bazą danych przy użyciu poświadczenia użytkownika / hasła SQL, a aplikacja sama zarządza uprawnieniami. Ta ostatnia część nie przeszkadza mi tak...
Mamy użytkownika, który odchodzi i muszę znać każdy obiekt bazy danych, który posiada. Czy istnieje zapytanie, które dostarczy tych