0
有什么方法可以使用JBoss和Oracle定义一个真正的只读数据源?如何将Oracle JBoss数据源定义为只读?
我想坚持单一的默认模式用户,但限制应用程序的某些部分为只读,以避免SQL注入问题。如果在JBoss中没有这种方式,我将不得不在Oracle中创建另一个用户权限有限的用户。
A
回答
4
无论你在JBoss中是否可以这样做,都应该创建第二个用户。
应该在数据库层设置数据库权限;不要试图在代码中应用它们。该数据库旨在确保无法写入您无权写入的表。如果你在应用程序中实现它,它只需要一个小小的改变或者一个小错误来打破这个限制。
如果您不想在另一个模式中引用表,您可以始终创建一个指向它的自己的同义词。
有一个related programmers question,您可能会感兴趣。简单地说就是“不要在代码中做什么,你可以得到SQL服务器来为你做好”。这个具体的情况没有提到,但我认为它适用。
+0
我担心这会成为......使我们的客户和托管服务变得更复杂一些......但我们可能会在这里与安全性辩论。 –
0
要完成这个...我已经创建另一个用户用下面的SQL:
-- USER SQL
CREATE USER MYUSER_READONLY IDENTIFIED BY password
DEFAULT TABLESPACE "USERS"
TEMPORARY TABLESPACE "TEMP";
-- ROLES
GRANT "AUTHENTICATEDUSER" TO MYUSER_READONLY;
GRANT "CONNECT" TO MYUSER_READONLY;
GRANT "EJBCLIENT" TO MYUSER_READONLY;
GRANT SELECT ANY TABLE TO MYUSER_READONLY;
GRANT ALTER SESSION TO MYUSER_READONLY;
为了简化用户的使用我的Java代码初始化我们用下面的语句每一个SQL会话:
ALTER SESSION SET CURRENT_SCHEMA = MYUSER;
这使我们能够查询其他用户的表,就好像它是同一个用户一样。
就是这样。
相关问题
- 1. Jboss数据源Oracle配置
- 2. 无法在JBoss上定义数据源的Oracle AS 7
- 3. Jboss 7 - Oracle数据源不起作用
- 4. 指定GeoTools只读数据源
- 5. 只读访问数据源
- 6. Jboss 7和数据源
- 7. 在JBoss 7.1.1中为MySQL集群创建XA数据源:连接只读错误
- 8. 定义数据源
- 9. 在根据定义为数据源值
- 10. 如何检查JBoss中的数据源?
- 11. 如何连接数据源与JBoss AS7
- 12. JBoss中的数据源绑定
- 13. 如何将JBoss 7.1.1 Final连接到Oracle数据库?
- 14. 在JBoss standalone.xml中定义数据源vs容器不可知的方式在web.xml中定义数据源
- 15. Excel VBA从设置为只读的oracle数据库读取数据
- 16. 的JBoss 7作为数据源的SQLSERVER
- 17. 未在JNDI环境中定义数据源(JBOSS EAP 6)
- 18. 如何定义数据源的布局?
- 19. 如何将数据源的选定数据导出为excel?
- 20. 如何将自定义XML添加到Oracle XML Publisher数据定义
- 21. MySQL:如何将一个数据库转为只读?
- 22. 什么数据源使用jboss的intead?
- 23. 如何在JBoss中decalare一个新的数据源为7
- 24. spark 2自定义数据源 - 如何将数组列设置为null?
- 25. 在Cakephp中使用只读自定义数据源进行单元测试
- 26. Jboss XA与Oracle的数据源无法打开连接
- 27. 使用ReportingService API读取自定义数据源凭据
- 28. SCE - 自定义数据源
- 29. 如何将数据导入只读数据表字段?
- 30. 如何将TextBox绑定到数据源
为什么JBoss需要限制只读? –
如果你担心*只是* SQL注入攻击,那么你的程序员就可以使用准备好的语句。还是他们不遵循编码标准? – Perception
它更复杂......我们允许在某些部分使用自定义的“公式”作为查询来自实体化视图的大量数据的select语句的一部分,这些部分被转发到Oracle。将其视为数据仓库功能。我们进行了一些常规检查,但我想确保用户无法以任何方式注入任何类似ALTER TABLE或DELETE FROM ...即使不是偶然的 - 如果可能的话,无需配置单独的数据库用户。 –