問題タブ [database-security]

次のように、SQL Server でログインを作成するスクリプトがあります。

このスクリプトにサーバーの役割の付与を追加することはできますか? このユーザーに sysadmin サーバー ロールを付与したい

これは重複としてマークされる可能性がありますが、私の弁護では、私はしばらくの間検索しており、見つけた情報の多くは関連しているmysqlかmysqli、せいぜい、または不完全です. PDOステートメント の使用と準備を考慮した、完全で最新の回答が必要です。

アプリケーション内を移動するデータを処理する適切な方法は何ですか。

次の理論上のデータの流れは適切ですか?そうでない場合、どのような改善をお勧めしますか?

1. 適切なフォーム検証クライアント側。
2. $_POSTではなくの使用$_GET
3. PHP では、$variable = htmlentities($_POST['variable']);データベース挿入の直前に使用します。
4. 次のようなステートメントを使用PDOして準備しbindValue(':variable', $variable)ました。
5. 出力時に、echo htmlspecialchars($variable);XSS 攻撃を防ぐために使用します。

関連する 2 つの質問:

• htmlentities()データベースを挿入する前にデータを使用しているとしましょう。ユーザーが say <p>my input value</p>. これ<tr><p>my input value</p>&lにより、データベースに次のように書き込まれます。
• PHP が AJAX によって処理される JSON 配列を返す場合、そのシナリオで出力をどのように処理しますか? これは PHP では機能しません。 htmlspecialchars($JSON_Array)

これについてご協力いただきありがとうございます。

doctrine 2 では、ORM を使用しているときに sql インジェクションから保護するにはどうすればよいですか? doctrine サイトで次のページを見つけました: http://docs.doctrine-project.org/projects/doctrine-dbal/en/latest/reference/security.html

ただし、これは dbal に関するものであり、ORM に関するものではありません。

$id が投稿された値であると仮定して、以下のようなものを使用しても安全ですか?

または、代わりに次のような名前付きパラメーターを使用してクエリを作成することをお勧めします。

はいまたはいいえの答えだけを求めているのではなく、これが問題ないことを保証する信頼できるドキュメントがあるかどうかを確認することに注意してください。

TDE を MySQL に導入するための解決策を探していました。この質問は以前にここで尋ねられました。

しかし、問題は、Linux 環境にインストールされている MySQL データベースに対して TDE ソリューションを有効にすることについてのようです。

私の場合、Windows Server 2008 R2 環境にインストールされた MySQL 用の TDE ソリューションが必要です。

私はNetLibを見つけましたが、うまくいっているようです。質問は、他の選択肢はありますか？また、NetLib は良いですか?

編集：

これで、MySQL で TrueCrypt を使用できるようになりました。しかし、これに代わるものは他にありますか？おそらく監査されたものですか？

メイン ドメインに保持したいデータベースがありますが、ドメイン管理者がそのデータベースに書き込めないようにしています。読み取りアクセスは問題ではありません。これを行うには、書き込み権限を持つすべてのアカウントが SQL ログインのみを使用するようにする必要があるようです (ドメイン管理者は他のドメイン アカウントのパスワードをリセットできるため)。これには他のセキュリティへの影響があることを認識しています。もう 1 つの問題は、Windows サーバーの管理者がデータベースの mdf ファイルを取得して別のインスタンスにアタッチし、データベースの内容を変更してから、元のサーバーの mdf を置き換えるシナリオです。これが可能かどうか、またはSQLサーバーを介して再接続する必要があるかどうか最初に疑問に思いますか?

サーバーはまだドメイン上にあるため、ドメイン管理者は明らかにサーバー上の管理者になります。私が心配する必要があるデータベースへの書き込みアクセスを取得する他の方法はありますか (master データベース mdf の削除など)。

そのため、SQL Server 2008 データベースを使用するプロジェクトに取り組んでいます。Java と Hibernate を使用します。先週、いくつかの作業を行っていましたが、(比較的) 正常に動作していました。今日戻ってきましたが、突然Hibernateがログインまたはデータベースに接続できなくなりました。JDBCで接続しようとしたが、それもうまくいかなかったため、問題はSQL Serverにあると思われます。

サーバー認証が「SQL Server および Windows 認証モード」に設定されている

私のユーザー「ダミー」と「ルート」は、すべての明示的な権限に対して「許可」チェックを持っています。

入力したユーザー名とパスワードは正しいです。これらのログインを使用して SQL Server Management Studio にログインし、クエリを実行できるため、これを知っています。

データベースは Windows XP 仮想マシン上にあり、ホスト マシン上で Eclipse を使用しています。ポート転送があり、Oracle VirtualBox ですべてがセットアップされています (先ほど言ったように、先週は問題なく動作していました)。

助言がありますか？

--編集--
元の投稿の下のコメントを参照してください

---編集---
発見しました。Java プロジェクトが SQL Server に接続されていません。.udl テストでログインに失敗すると、失敗したログインに関するログ メッセージが作成されます。しかし、ホスト マシンで Java プロジェクトを使用してログインに失敗すると、ログが作成されます。
また、同じ VM で実行されている MySQL データベースに接続して、問題なくクエリを実行できることも指摘しておく必要があります。
この URL 文字列に何か問題がありますか? "jdbc:sqlserver://192.168.56.1:1433;databaseName=MLB;user=dummy;password=123"
IP アドレス、ポート番号、データベース名、ユーザー名、パスワードがすべて正しいことを確認できました。

主題を適切に説明したことを願っています。各ユーザーが同じ連絡先テーブル内に独自の連絡先を持つ連絡先管理アプリケーションを作成しています。ユーザーは、互いの連絡先を表示できてはなりません。

私はこれを行うことから始めましたが、より良い方法があるはずです:

上記の行の問題は、次のように書きたいということです。

すべての検索が一致する必要があるように、おそらくフィルターのように where 句をロードする方法はありAuth::user()->idますか?

ローカル データベース (SQL Server 2012 LocalDb) を使用するデスクトップ アプリケーションがあります。

エンド ユーザーがデータベースを直接変更できるようにしたくありません。また、データベースの内容の表示を特定のユーザーに制限したいと考えています。

さらに、ログインしているユーザーの権限レベルに応じて、アプリケーション内から実行できる特定のアクションを制限したいと考えています。

最初の要件はどのように満たすことができますか? コードファーストで可能ですか？

2 番目の要件を最初の要件と統合できますか?