これが私の基本的な設定です...
従業員がログインしてタイムシートフォームや購入などを送信するために使用するWebサイトがあります。Webサイトは基本的なHTMLで記述されており、バックエンドにPHPがあり、SQLクエリを実行してプル/送信します。 Webサイトと同じサーバーでホストされているMicrosoftAccessデータベースとの間の情報。
私の質問はこれです...誰かがサイトにログオンするために従業員のパスワードを取得した場合、彼らが私のデータベースの内容を表示するのはどれほど簡単でしょうか?正直なところ、ここで私を導く直感や手がかりがないので、助けを求めています。現在設定されているので、ここでは実際には保護が行われていないため、データベースへのアクセスが非常に簡単な場合は、データベースを保護する方法についていくつかの指針が必要です。
誰かがサイトにログオンするための従業員のパスワードを入手した場合、彼らが私のデータベースの内容を表示するのはどれほど簡単でしょうか?
それはすべて、権限と接続文字列に依存します。上記のシナリオには、以下に投稿したものと同じリスクが当てはまりますが、有効な資格情報を持っていると、データベースにアクセスしやすくなります。
WebサイトがSQLインジェクションに対して脆弱である場合、誰かのパスワードを取得していなくても、誰かがデータベースにアクセスする可能性があります。
このフォーラムでデータベースを保護するには、変数が多すぎます。しかし、ここから始めるのに適した場所がいくつかあります。
最後に、ASP.NETではなくPHPを使用しているとのことですが、とにかく次のリンクを提案します。脅威のモデリングや一般的なリスクなど、コードだけにとどまりません。.NET開発者でなくても、優れたリソースです。
自分自身に尋ねるべき最初の質問は、ユーザーがDBに送信するSQLクエリに影響を与える可能性があるかどうかです。これは最も危険な状況です。