2

最初に説明すると、すべて中央データベースに接続するいくつかの Web サイトがあります。原則として、クライアントには Web サイトの FTP へのアクセスを許可しないため、DB 資格情報が含まれるファイルにはアクセスできません。99.9% の場合、これで問題ありません。

ただし、完全な FTP アクセス権があると主張するクライアントがいます。彼らは広告/追跡機能を追加したいと考えており、私は彼ら自身のデータベースと別のディレクトリにロックダウンされた FTP をセットアップしましたが、明らかに十分ではありません.

彼らは私たちの mysql クレデンシャルを盗み、私たちのデータベースに接続して一掃するつもりはないと確信していますが、それが大きなセキュリティ リスクであることは間違いありません。

次の方法はありますか?

a)コード内の資格情報を表示せずにデータベースに接続します

b) 独自のコードの追加と中央データベースへの接続を停止し、独自のコードのみを使用する

彼らに FTP アクセスを与えるということは、彼らが私と同じことができることを意味するので、100% 安全になるものは何もないことは確かですが、他の誰かが何かアイデアを持っているのだろうか?

4

2 に答える 2

0

RESTful API を記述せずにこれを「安全に」行う唯一の方法 (これは実行可能ではないことを示しています) は、MySQL に特別なユーザー アカウントを作成し、それらが所有していないレコードにアクセスできないようにすることです。正直なところ、「正しく」行っている場合は、すべてのクライアントに対してこれを行う必要がありますが、それは多くのメンテナンスになる可能性があることは理解しています。

暗号化に関しては、クライアントの DB 資格情報を暗号化し、中間コードなしで DB ログイン用に復号化する方法はありません。クライアントがアクセス用の独自の MySQL アカウントを持っている場合でも、これは問題ではありません。

于 2013-05-16T00:25:51.687 に答える