問題タブ [database-security]

ニュースレターをそのメール ID に定期的に送信したいので、bcrypt 後にパスワードを保存していますが、ユーザーのメール ID はプレーン テキスト (暗号化なし) として保存しています。2つ質問がありますか？

1. データベース内のプレーンテキストとしての電子メール ID をハッカーから保護できるように、データベースを保護する方法は?

2. 特定のデータベース テーブルが、外部からではなく Web フォームからのみアクセスされることを確認する方法はありますか?

注：私はデータベースが初めてです。

基本的な質問。ユーザーに名前、電子メール、およびコメントを求めるフォームがあり、そのエントリをデータベースに保存するとします。次のような SQL クエリを入力するとどうなりますか。

コメント欄で。

SQL インジェクションのリスクはありますか、それとも完全に安全ですか?

挿入を処理する SQL Server 2008 ストアド プロシージャ。

ユーザーが OpenID でログインするサイトを作成しています。ただし、Google、Yahoo、および AOL のいずれかのみを選択できるようにします。彼らは OpenID プロバイダーのアカウント (Google/Yahoo/AOL) でログインまたはサインアップし、私の Web サイトにリダイレクトされた後、「サインアップ成功!」と表示します。主張されたIDまたはGoogleなどがOpenID AX（属性交換）で提供するものに対して、電子メールIDを保存します。

現在、サイトでのコメント、クエリなどのアクティビティにより、ユーザーに通知してもらいたいと考えています。そのために、私は自分のサイトの OpenID サインアップから得た彼の電子メール アカウントにメールを送信します。そして、メールを送信するには、email-id が (明らかに) 平文である必要があります。しかし、データベースでは、誰かがユーザーテーブルをハッキングしてダウンロードしたとしても、電子メール ID を解読できないように、電子メール ID を安全に、十分に安全に保存したいと考えています。

どうやってするか？AES 暗号化などの場合、キーを保存する必要があります。また、バックエンド スクリプトが電子メール ID をプレーンテキストに変換するためのキーに簡単にアクセスできる場合、ハッカーもアクセスできないのでしょうか?

サイトの登録ユーザーの電子メール ID を安全に保存し、通知についても電子メールで送信したいだけですが、ハッカーが電子メール ID に簡単にアクセスできるリスクはありません。

ASP.Net MVC 4 のプログラムを使用して SQL Server データベースのバックアップを作成したいと考えています。

前もって感謝します