将Oracle 10g内置的安全特性用于PHP

核心提示： 如果 Web 应用程序的公共端遭受了一个诸如公共搜索表单（即编码不够严密的表单）上的 SQL 注入的攻击，则该入侵者可能能够对该公共帐户可以访问的数据库对象执行任意 SQL 语句，将Oracle 10g内置的安全特性用于PHP(2)，当然，就这里的情形而言，这样做的效率非常高，更不用说修改

如果 Web 应用程序的公共端遭受了一个诸如公共搜索表单（即编码不够严密的表单）上的 SQL 注入的攻击，则该入侵者可能能够对该公共帐户可以访问的数据库对象执行任意 SQL 语句。当然，就这里的情形而言，执行 SELECT 语句不会造成什么大问题，这是因为数据本来就是公共的。但由于公共权限和管理权限使用同一数据库帐户，因此入侵者还能执行 UPDATE 和 DELETE 语句，甚至是从数据库中删除表。

怎么才能防止该情况的发生呢？最简单的方法就是彻底限制公共数据库帐户修改数据的权限。我们来看看 Oracle 是如何解决这个问题的。

Oracle 安全性基本概述

Oracle 数据库为 Web 开发人员提供了控制数据访问的许多方法，从管理对特定数据库对象（如表、视图和过程）的访问到控制个别行或列的数据的访问。很显然，对 Oracle 每个安全特性或可用选项的讨论超出了本文的范围。在这里，我们将不涉及过多细节，而仅介绍 Oracle 数据访问安全性的最基本方面：

·验证和用户帐户

·权限

·角色

验证和用户帐户。 与其他数据库一样，请求访问 Oracle 的每个用户（数据库帐户）必须通过验证。验证工作可以由数据库、操作系统或网络服务来做。除基本的验证（口令验证）外，Oracle 还支持强验证机制，如Kerberos、CyberSafe、RADIUS，等等。

角色。 Oracle 角色是一个权限的有名集。尽管可以直接授予用户帐户权限，但使用角色可以极大简化用户管理，尤其是需要管理大量用户时。创建易管理的小角色，然后根据用户的安全级别授予用户一个或多个角色，这样做的效率非常高。更不用说修改权限变得如何简单了 — 只需修改角色关联的角色即可，无需修改每个用户帐户。