快速提问:
当您处理仅在本地Intranet上提供服务且只有两名员工(非编码人员)有权使用它的代码时,是否值得花费额外的时间和精力来加密Dbase数据并防止SQL注入?
答案 0 :(得分:1)
它不是一两个用户,而是基本的理智。您不需要加密完整数据,只需加密敏感数据,如用户凭据。其次对于sql注入它必须使用的非常小的代码行,而不是正常的语句使用预备语句进行查询。我没有看到任何障碍。
如果以正常格式存储数据,任何有权访问数据库的人都可以检索操作员凭据,任何有访问权限的人都可以使用sql注入来对用户数据进行jeprodise。
答案 1 :(得分:1)
简短回答 - 是的,确实如此。
攻击者寻找弱链接,并且您不希望您的应用程序成为弱链接。例如,如果您不加密数据库中的用户凭据并且不防止SQL注入,则可以访问内部网络的攻击者可以轻松窃取用户的凭据;如果他们重新使用了密码,这意味着攻击者现在可以使用从“弱”系统中窃取的凭据来访问更“强大”的系统。
此外 - 这是我们现在正在构建Web应用程序的方式;你使用的任何框架都会使额外的工作几乎变得极少 - 可以说,如果你使用Ruby on Rails,Zend框架等工具,不做这些事情比做它们更费劲。