問題タブ [database-security]

SQL Server で列を暗号化するためにhttp://msdn.microsoft.com/en-us/library/ms179331.aspxに従いました。

暗号化されたデータがあることを示しています。これは私が望んでいたことです。

暗号化されていない列がまだあることを無視して、問題はこれが実際に改善された点です。キーを開いてそれを使用してデータを復号化するのは簡単です。理解の一部が欠けていると思います。

私はSSL証明書とその利点を調査していました。そこで、データベース接続にSSL証明書を使用していることに気づきました。データベースとの安全な接続が必要な理由と混同しています。クライアントとサーバーの間に安全な接続が確立されている場合、とにかくサーバーがデータベースに接続してフェッチするものです。データベースとの安全な接続が必要な理由を誰かが理解するのを手伝ってもらえますか？前もって感謝します。

PHPのencrypt（）関数を使用して暗号化されたデータベースに電子メールを保存していますか？はいの場合、どうすればそれを復号化できますか？そうでない場合、より良いアイデアは何ですか？例：crypt（）関数

RoR に基づく web アプリケーションの開発を外部委託し、heruko でホストしています。このアプリケーションのユーザーには、開発者、コンテンツ ジェネレーター、顧客の 3 種類があります。開発者がテーブルを作成したり、DB スキーマのみを変更したりできるようにしたい。そして、コンテンツジェネレーターがDBのコンテンツにアクセスできるようにしたい（直接DBアクセスまたはWebサイト経由）。

私の質問: 開発者がデータベース エンジン レベルで DB コンテンツにアクセスできないようにするにはどうすればよいですか? 開発者をサイトの顧客として追加でき、彼らは制限されたコンテンツにアクセスできます。これは問題ありません。しかし、DB コンテンツをだれかがコピーしてしまうのを防ぐにはどうすればよいでしょうか?

私は開発を外注し、私と開発者の間に契約がないため、私の IP を確実に保護したいと考えています。これを行う最良の方法は何ですか?

私の質問は、単なる技術的な質問ではなく、その実装のセキュリティに関連しています。

私はすべてのレポートを作成し、ReportingServerを使用しています。これらは、ASP.NETのReportViewerコントロールを使用するアプリケーションによって使用されます。

これらのレポートには異なるデータソースが含まれている可能性があるため、レポートのデータソースにパラメーターを作成し、connectionStringアプリケーションをパラメーターとしてレポートに送信しました。

これまでのところすべてが順調ですが、ここで私の質問が発生します。パラメータ用のユーザーとパスワードを持つConnectionStringを使用しているので、ここにセキュリティ上の欠陥はありませんか？

私はあなたからの意見をお願いします、そして誰かがより良い実装方法を持っているなら、私に教えてください。

みんな、私はmysqlのセキュリティに慣れていないので、Googleでこの問題を検索すると、多くの人がmysql文字列をチェックして「が含まれているかどうかを確認する必要がある」と警告しています。そうしないと、mysqlデータベースが注入される危険があります。 、しかし、彼らは理由を教えてくれませんでしたか?理由を教えてください。どうもありがとうございます。

ネットワークベースの Android アプリケーションを作成しています。Web ホスティングにサーバーを作成しました。PHP と MySQL を使用してデータベース操作を処理してきましたが、このデータベースにユーザーを割り当て、データを操作する権限を付与したいと考えています。

ただし、どの権限をユーザーに付与する必要があり、どの権限を付与しないのかがわかりません。権限を付与するように求めるページにスクリーンショットを添付しました。何が安全で、何が潜在的な害を及ぼす可能性があるかを知りたいです。

2を除くすべてのテーブルで選択、更新、挿入、および削除の権限を持つapp_userという名前のデータベースロールがあります。この2つのテーブルでは、app_userロールには選択権限しかありません。

ただし、一部のユーザーはデータベース ユーザーを作成する権限を持っています (create login、sp_adduser、sp_addrolemember を使用)。この手順を実行するには、sysadmin サーバー ロールが必要です。この場合、sysadmin ロールはデータベース ロール app_user を超えており、この 2 つのテーブルを更新できます。現在、securityadmin ロールを付与していますが、db ユーザーの作成中は create login しか実行できません。

要約すると、sysadmin アカウントを除くすべてのユーザーに対して 2 つのテーブルの更新を保護し、一部のユーザーがデータベース ユーザーを作成できるようにしたい (私のアプリは、その種類のユーザーに db 権限を付与する sp を実行します)。

一部のユーザー アカウント情報を ssl 経由で json として中央サーバーに送信する Android アプリケーションがあります。サードパーティは、ユーザーのユーザー名を知っていれば、ユーザーにメッセージを送信できます。

サーバーからユーザー名を照会することはできません。実際、ユーザー データを照会することはできません。システム全体は、ユーザーがその情報をサードパーティと喜んで共有し、サードパーティがその情報を使用してユーザーにメッセージを配信できるという事実に依存しています。

送信されたデータは、既に SSL 経由で送信されているため、暗号化されていません。サーバーに保存されているデータを安全に保つために暗号化する必要があると感じています。このデータを暗号化する最良の方法は何でしょうか? ユーザー データを照会するとき、提供された値を暗号化し、それをデータベースに格納されているものと比較する必要がありますか?それとも、データベースを復号化する必要がありますか?

それとも、私のサーバー アプリケーションだけがこのデータにアクセスできるので、やり過ぎですか?

C# と MS Access を使用して販売する 1 つのインベントリ プロジェクトを開発しています。

この製品を販売した後、クライアント (またはその他) はドキュメントを開いて読むことができます。この安全性の低下を克服する必要があります。

私はそれをグーグルで検索し、パスワード保護という解決策を見つけました。しかし、これを破るツールがたくさんあります。

最後に、データを盗んで表示するためのすべての方法を閉じる必要があります。