我们在服务器模式下使用Java + H2数据库,因为我们不希望用户访问数据库文件。
admin创建的所有数据库用户都是普通用户(不是管理员)。这些常规用户是否还有其他可能获取数据库内容的可能性?我尝试过SCRIPT和BACKUP命令,但由于需要管理员权限而失败。那太好了:))
是否使用户不是管理员足以保护用户免于转储数据库内容?
更多,正在使应用程序用户=数据库用户,一个良好的安全实践?以前,对于身份验证,我们在数据库中使用自定义“用户”表,而不是数据库用户。
谢谢。
答案 0 :(得分:0)
这些普通用户是否还有其他可能获取数据库内容?
没有。这就是数据库用户和权利的重点,因此用户只能访问他允许的数据。
是否使用户不是管理员足以保护用户免于转储数据库内容?
是
正在使应用程序用户=数据库用户,这是一个很好的安全实践吗?
是的,如果客户端应用程序可以访问数据库(通过TCP / IP)。
以前,为了进行身份验证,我们在数据库中使用自定义“用户”表,而不是数据库用户。
这是Web应用程序和其他3层系统(用户无权访问数据库)的常见解决方案。