科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全Web安全访问SQL Server

Web安全访问SQL Server

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于有人认为采用Web开发采用TCP/IP协议会导致SQL Server安全问题的论述,我认为这个会误导大家。因为,NAMED PIPE协议对Web服务器和数据库服务器之间需要操作系统级的安全认证,照上面的说法,岂不是也存在安全隐患?

来源:zdnet整理 2011年1月19日

关键字: 安全技术 攻击防范

  • 评论
  • 分享微博
  • 分享邮件

  对于有人认为采用Web开发采用TCP/IP协议会导致SQL Server安全问题的论述,我认为这个会误导大家。因为,NAMED PIPE协议对Web服务器和数据库服务器之间需要操作系统级的安全认证,照上面的说法,岂不是也存在安全隐患?

  问题不是出在协议本身,而是开发者的开发方法。正如作者所说的程序员会把数据库连接的信息写在一个INC文件,而这个INC文件所在的Web目录往往又设置成了可读写。这些问题,都是开发者自身的问题,而不是采用了什么协议的问题。

  因此,我总结在Web开发的时候,应该注意:

  1 体系架构设计应该注意, 数据库服务器和Web服务器不要位于同一台物理服务器,Web服务器应该配置两块网卡,目的只有一个,就是要把数据库服务器放置在内网,而不是暴露在INTERNET上。

  2 Web服务器前应该配置防火墙,提高Web服务器的抗侵袭能力

  3 数据库登陆账号的安全问题,Web程序不应该通过具有系统管理员权限的账号访问系统。数据库员应很好地规划数据库访问权限地控制。

  4 Web端程序,要避免把数据库连接的信息直接写在jsp或asp中,方法很多:

  a) 可以考虑ODBC,程序中只需要一个dsn就可以,账号和密码设置在odbc管理器中。

  b) 把连接串信息加密,程序自己解密

  c) 把数据库操作部分做成一个组件。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章