扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
对于有人认为采用Web开发采用TCP/IP协议会导致SQL Server安全问题的论述,我认为这个会误导大家。因为,NAMED PIPE协议对Web服务器和数据库服务器之间需要操作系统级的安全认证,照上面的说法,岂不是也存在安全隐患?
问题不是出在协议本身,而是开发者的开发方法。正如作者所说的程序员会把数据库连接的信息写在一个INC文件,而这个INC文件所在的Web目录往往又设置成了可读写。这些问题,都是开发者自身的问题,而不是采用了什么协议的问题。
因此,我总结在Web开发的时候,应该注意:
1 体系架构设计应该注意, 数据库服务器和Web服务器不要位于同一台物理服务器,Web服务器应该配置两块网卡,目的只有一个,就是要把数据库服务器放置在内网,而不是暴露在INTERNET上。
2 Web服务器前应该配置防火墙,提高Web服务器的抗侵袭能力
3 数据库登陆账号的安全问题,Web程序不应该通过具有系统管理员权限的账号访问系统。数据库员应很好地规划数据库访问权限地控制。
4 Web端程序,要避免把数据库连接的信息直接写在jsp或asp中,方法很多:
a) 可以考虑ODBC,程序中只需要一个dsn就可以,账号和密码设置在odbc管理器中。
b) 把连接串信息加密,程序自己解密
c) 把数据库操作部分做成一个组件。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者