这是我的基本设置......
我有一个网站,将用于员工登录,并提交时间表表格,购买等内容。网站是用一些基本的HTML编写的,然后在后端有一些PHP运行一些SQL查询到从与网站相同的服务器上托管的Microsoft Access数据库中提取/发送一些信息。
我的问题是......如果有人有员工密码登录网站,他们查看我的数据库内容有多容易?老实说我没有直觉或线索来指导我,所以我要求一些帮助。目前设置实际上没有保护,所以如果访问数据库非常容易,我想了解如何保护数据库。
答案 0 :(得分:1)
如果有人有员工密码登录网站,那有多容易 他们会查看我的数据库的内容吗?
这一切都取决于权限和连接字符串。同样的风险适用于我在下面发布的上述场景,但拥有有效的凭据肯定会使 更容易 进入数据库。
即使他们没有获得某人的密码,如果该网站易受SQL注入攻击,也有可能访问您的数据库。
有太多的变量无法完全覆盖此论坛上的数据库保护。但这里有一些好的开始。
最后, 我知道你说你使用的是PHP,而不是ASP.NET ,但我还是建议使用以下链接。它远远超出了代码,包括威胁建模,常见风险等。即使您不是.NET开发人员,它也是一个很好的资源。
答案 1 :(得分:0)
您应该问自己的第一个问题是,用户是否有可能影响您发送给DB的SQL查询。这是最危险的情况。