問題タブ [database-security]

デフォルトでは、10 個のデータベースのうちの 1 つにアクセスできるアカウントを介してリモート SQL Server に接続する場合。オブジェクト エクスプローラーには、他のすべてのデータベースが表示されます。アクセス許可のため、実際にクエリを実行することはできませんが、名前は表示されます。

この動作を無効にする方法があると聞きましたが、答えを見つけることができませんでした.誰かがこれを行う方法を知っていますか? 例を挙げると、MyDbServer という SQL Server があり、4 つのデータベースがあり、

1. マイデータベース
2. あなたのデータベース
3. プライベート データベース
4. リアリープライベートデータベース

「YourDatabse」へのアクセス許可のみを持つアカウントを介して接続する場合、他のすべてのデータベースのリストが引き続き表示されます。クエリを実行しようとすると、「select」アクセス許可が拒否されるか、同様のエラーが発生します。

セキュリティ上の理由から、ユーザーがマップされているデータベース以外のデータベースをユーザーに見せたくありません。

SQL Server 2000 Standard Edition に "dbo.T668" という名前のテーブルがあります (命名規則について私を責めないでください)。

SQL Server Management Studio 2005 を使用してサーバーで作業していますが、奇妙な理由で、テーブルの一覧にテーブルがまったく表示されません。他のすべてのテーブルが表示されますが、このテーブルは表示されません。

クエリ エディターを開いて「select * from dbo.T668」と入力すると、すべてのレコードが返されるので、テーブルにアクセスしてそこから選択する権限があります。テーブルにアクセスできる設定はありますかしかし、SQL Manager で表示されませんか? それとも、これは SQL 2000 と SQL 2005 の間の非互換性ですか?

私は Flash ゲームのバックエンドに取り組んでおり、スコアボードに入るデータを保護する必要があります。

ゲームはバナー広告で多くのサイトでホストされ、ユーザーは広告でゲームをプレイし、クリックしてメイン サイトにアクセスして詳細を保存します。

現時点では、私はこれに沿って考えています

1. ユーザーがゲームをプレイし、クリックしてスコアを送信する
2. バックグラウンドで、バナーはスコアと元のドメインをメイン サイトのスクリプトに送信します。
3. スクリプトは、ドメインが広告がホストされている有効なドメインの 1 つであるかどうかを確認します。
4. すべてが正しければ、スクリプトはこのスコアとドメインのハッシュを作成し、スコアとともにデータベースに保存します。
5. スクリプトはハッシュを Flash に返し、メイン スコアボードを開く getURL のクエリ文字列にハッシュを追加します。
6. スコアボード ページはリファラーをチェックして、それが有効なドメインの 1 つであることを確認します。
7. 有効なトークンである場合は、ハッシュのデータベースをチェックします
8. 次に、ユーザーが詳細を入力すると、ハッシュに基づいてレコードが更新されます

前回、FLash がリファラー情報を送信しないことを確認しました。では、この種の Flash とデータベースのやり取りのパターンはすでに確立されているのでしょうか?

ステップ 4 では、どのようなハッシュ/チェックサムを使用すればよいですか? この種の操作の正しい名前は何ですか?それはハッシュ、チェックサム、または何か他のものですか?

クライアント側のテクノロジーであるため、Flash が実際にそれほど安全ではないことは理解していますが、私の考えでは、上記のようなことは、この種のアプリケーションをハッキングするのと同じくらい難しいことです。

更新: 私の主な目的は、スコアをデータベースに追加するスクリプトの URL を人々が見つけにくくし、単に偽のスコアでスパムすることです。

ありがとう、グレッグ

レポートを実行して、すべてのユーザーのパスワードが30日ごとに期限切れになるように設定されていることを確認したいのですが、有効期限の間隔がsysloginsに保存されていないようです。

統合セキュリティを使用するアプリが2つあります。1つは接続文字列で割り当てIntegrated Security = true、もう1つはを設定しますIntegrated Security = SSPI。

統合セキュリティのコンテキストSSPIとの違いは何ですか？true

機密データや個人データを収集または交換する Web アプリケーションを開発したいと考えています。

このシステムは、ユーザーに次の詳細な自動レポートを提供します。

• ユーザーのウェブサイトの安全性は？
• どれくらい簡単にハッキングできる？
• 正確にはどこに問題があり、
• 救済策は何ですか？

これがシナリオです。SQL Server 2005 運用データベース/サーバーがあります。現在、接続できる開発者とサポーターがいます。データベースのすべての領域への読み取り専用アクセスを開発者に与えるセキュリティ モジュールを作成する必要があります。これは、開発者がすべてのオブジェクトとスケジュールされたアクティビティ/ジョブのみを表示できる必要があることを意味します。

この方法でセキュリティを有効にすることは可能ですか? もしそうなら、これを達成する方法について優しく案内してもらえますか? 私は DBA になることを学んでいますが、データベースのスナップショットを作成することはできません。

よろしくお願いします。

データベース（mysql）を使用したデスクトップアプリケーション（アプリと呼びましょう）を作成しています。より多くのアプリのユーザーが1人のデータベースユーザーを共有します。例：JohnおよびMikeアプリのユーザーは、「dbuser」などとしてDBに接続します。

問題は次のとおりです。DBユーザーのパスワードを効果的に保存するにはどうすればよいですか。（アプリユーザーのpwdはDBに保存されます）。

私が見つけた可能な解決策：1。コード内-これは実際にはかなりばかげています：D 2.テキストINIファイル内-読みやすいです！3. externファイルで暗号化-良好ですが、アプリにアクセスする必要があります。

誤って文字列をダブルエスケープした場合、DBに損害を与える可能性がありますか？

この質問の目的で、ストアドプロシージャやパラメータ化されたクエリを使用していないとしましょう。

たとえば、次の入力を取得したとします。

そして私はそれを逃れる：

しかし、私のコードはひどいものであり、再びそれを回避します：

これをDBに挿入すると、DBの値は次のようになります。

これは私が望んでいることではありませんが、DBに害を及ぼすことはありません。他のすべての必要なセキュリティ対策を講じていると仮定して、二重にエスケープされた入力がDBに悪意のあることをする可能性はありますか？

私は現在、大学の最終学年で論文を書いています。私が調査する必要がある分野の 1 つは、Web サイトとデータベースの両方のセキュリティです。現在、次のセクションがあります。

• Webサイト
  • フォーム セキュリティ - データ検証など。このセクションでは、ハッカーを阻止するよりも、正当なユーザーによるエラーを可能な限り防止することに重点を置いています。たとえば、フィールドを正規表現と比較し、発生したエラーについて有意義なフィードバックを提供して再発を防止します。
  • 制約。たとえば、値が true または false でなければならない場合は、チェックボックスを使用します。複数の値のいずれかである可能性が高い場合は、ドロップダウンまたは一連のラジオ ボックスなどを使用します。値が予測できない場合は、正規表現を使用して、入力できる文字を制限し、文字列の長さを制限し、場合によっては形式 (日付/時刻、郵便番号など) を制限します。
  • フォームへのアクセス許可を制限できる場合があります。これは、誰がフォームにアクセスする必要があるかを正確に把握している場合 (管理者や従業員などの人の名前またはグループ) です。アクセス許可を制限すると、一般ユーザーはフォームにアクセスできなくなります。
  • 悪意を持って使用されたり、Web サイトが正しく動作しない原因となる可能性のある記号や文字列 (script タグなど) は、除外するか、html でエンコードする必要があります。
  • キャプチャ画像を使用して、自動化されたシステムがフォームに入力して送信するのを防ぐことができます。
  • 二重拡張子を使用するなど、ファイルのアップロードにはいくつかのハッキングがあり、ハッカーが悪意のあるファイルをアップロードできる可能性があります。
• データベース (これはまだ完了にはほど遠いですが、計画しているセクションを以下に示します)
  • SQL ステートメントとストアド プロシージャ
  • 変数の 1 つに特定の文字または文字グループが含まれている場合にエラーをスローします (それらが何の文字かは思い出せませんが、テキスト領域に html などを入力しようとした場所の前に、メッセージが返されたのを見たことがあります)。
  • SQL インジェクション - およびその回避方法と、いくつかの例。

これらの領域または私がカバーできるセキュリティの他の領域について、まともで信頼できる情報を得るためにどこに行くことができるかについて、ヒントやヒントはありますか?

前もって感謝します。

よろしく、

リチャード

PS セキュリティに関してはまったくの初心者ですので、しばらくお待ちください。私が書き留めた情報のいずれかが間違っているか、サブセクションに分けられる可能性がある場合は、遠慮なくそのように言ってください.