1
我有一种情况,我想使用数据库对象的权限,但不允许足够聪明的用户通过excel和访问来操作数据。我们希望要求用户通过我们的Web应用程序建立连接,这确保了数据在一个地方的验证。有没有办法确保用户与数据库建立连接并具有允许他通过Web应用程序插入,更新或删除的权限集?EntityFramework最佳实践RE:数据库安全
如果没有A方式,那么您在处理这种情况时如何处理这种情况,而无需使用Web应用程序连接的主用户?
A
回答
1
您可以使用大多数系统所做的主帐户,因为如果您想使用其他层(您的Web应用程序)进行数据验证,规则检查等,则没有理由让用户访问数据库。这就是一种不允许用户直接访问数据库的方式。
一旦你允许用户访问数据库,他可以做任何他允许的任何事情。没有什么会阻止用户直接访问数据库。此外,如果您在Web应用程序中不使用主帐户,则必须通过Web应用程序委派用户(如果数据库服务器与Web应用程序不在同一台机器上,则需要Windows域和Kerberos)。该代表团将为您的用户在您的应用程序中为用户提供与您的应用程序完全相同的权限。
+0
我知道这不是处理DbContext时最正确的方法,但是由于我的客户和他们的客户之间有MOA,我可以使用'context.Database.ExecuteSqlCommand()'来发送一个实体到数据库,以允许使用StoreProcedures来降低用户能够插入,更新或删除的风险? – bdparrish 2012-02-03 14:35:22
+0
但是,从您的应用程序连接到数据库将使用哪个帐户?如果应用程序主帐户,您可以使用任何你想要的。如果用户帐户,您仍然不能解决主要问题。用户必须拥有执行每一个存储过程和选择数据的权限(否则你不能使用LINQ查询),并且能够在没有你的应用程序的情况下做到这一点。所以一般来说,为了确保所有验证,您必须将所有逻辑和验证移至存储过程。 – 2012-02-03 14:56:18
+0
是的,你是正确的,将直接授予用户数据库层的权限。我的解决方案是,由于存储过程的名称和参数不会公开,这意味着用户更可能无法执行插入,更新或删除功能,因为该应用程序是内联网应用程序,所有用户都是内部的。我发现的唯一的其他选择是执行登录触发器,但必须进行额外交易的数量并不能衡量风险。 – bdparrish 2012-02-03 15:10:59
0
相关问题
- 1. 最佳实践SCRIPT安装数据库
- 2. JSON安全最佳实践?
- 3. CKEditor安全最佳实践
- 4. 最佳实践Apps安全
- 5. ASP.NET安全最佳实践
- 6. 数据库最佳实践
- 7. 安全的数据库连接。 DAL .net架构最佳实践
- 8. Rails 3全球数据最佳实践
- 9. 安全API的最佳实践?
- 10. SQL 2005安全最佳实践
- 11. Docker安全性最佳实践
- 12. 使用数据库最佳实践?
- 13. Android数据库连接最佳实践
- 14. 最佳实践:数据库引用表
- 15. 最佳实践数据库设计
- 16. Sqlite数据库连接最佳实践
- 17. 数据库设计最佳实践
- 18. 数据库同步 - 最佳实践
- 19. 数据库部署最佳实践
- 20. 最佳实践在数据库表
- 21. 类和数据库的最佳实践
- 22. 数据库最佳实践 - 状态
- 23. 最佳实践/ MariaDB的数据库
- 24. 数据库备份最佳实践
- 25. 版本数据库的最佳实践
- 26. 数据库ID最佳实践
- 27. ASP.NET EntityFramework 4数据上下文最佳实践
- 28. 最佳实践 - 隐藏数据网格列的安全问题
- 29. 数据层最佳实践
- 30. Git安装最佳实践
不要给你的用户访问数据库。为网站提供单一数据库登录。 – TGnat 2012-02-02 18:53:21
请阅读最后一句。 – bdparrish 2012-02-02 19:15:14