WEB开发网
开发学院数据库Oracle 将Oracle 10g内置的安全特性用于PHP 阅读

将Oracle 10g内置的安全特性用于PHP

 2006-08-07 11:52:48 来源:WEB开发网   
核心提示: 如果 Web 应用程序的公共端遭受了一个诸如公共搜索表单(即编码不够严密的表单)上的 SQL 注入的攻击,则该入侵者可能能够对该公共帐户可以访问的数据库对象执行任意 SQL 语句,将Oracle 10g内置的安全特性用于PHP(2),当然,就这里的情形而言,这样做的效率非常高,更不用说修改

如果 Web 应用程序的公共端遭受了一个诸如公共搜索表单(即编码不够严密的表单)上的 SQL 注入的攻击,则该入侵者可能能够对该公共帐户可以访问的数据库对象执行任意 SQL 语句。当然,就这里的情形而言,执行 SELECT 语句不会造成什么大问题,这是因为数据本来就是公共的。但由于公共权限和管理权限使用同一数据库帐户,因此入侵者还能执行 UPDATE 和 DELETE 语句,甚至是从数据库中删除表。

怎么才能防止该情况的发生呢?最简单的方法就是彻底限制公共数据库帐户修改数据的权限。我们来看看 Oracle 是如何解决这个问题的。

Oracle 安全性基本概述

Oracle 数据库为 Web 开发人员提供了控制数据访问的许多方法,从管理对特定数据库对象(如表、视图和过程)的访问到控制个别行或列的数据的访问。很显然,对 Oracle 每个安全特性或可用选项的讨论超出了本文的范围。在这里,我们将不涉及过多细节,而仅介绍 Oracle 数据访问安全性的最基本方面:

·验证和用户帐户

·权限

·角色

验证和用户帐户。 与其他数据库一样,请求访问 Oracle 的每个用户(数据库帐户)必须通过验证。验证工作可以由数据库、操作系统或网络服务来做。除基本的验证(口令验证)外,Oracle 还支持强验证机制,如Kerberos、CyberSafe、RADIUS,等等。

角色。 Oracle 角色是一个权限的有名集。尽管可以直接授予用户帐户权限,但使用角色可以极大简化用户管理,尤其是需要管理大量用户时。创建易管理的小角色,然后根据用户的安全级别授予用户一个或多个角色,这样做的效率非常高。更不用说修改权限变得如何简单了 — 只需修改角色关联的角色即可,无需修改每个用户帐户。

上一页  1 2 3 4  下一页

Tags:Oracle 内置 安全

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接