H2数据库:阻止用户转储数据库内容(SCRIPT,BACKUP等)

时间:2011-05-27 06:23:20

标签: java security h2

我们在服务器模式下使用Java + H2数据库,因为我们不希望用户访问数据库文件。

admin创建的所有数据库用户都是普通用户(不是管理员)。这些常规用户是否还有其他可能获取数据库内容的可能性?我尝试过SCRIPT和BACKUP命令,但由于需要管理员权限而失败。那太好了:))

是否使用户不是管理员足以保护用户免于转储数据库内容?

更多,正在使应用程序用户=数据库用户,一个良好的安全实践?以前,对于身份验证,我们在数据库中使用自定义“用户”表,而不是数据库用户。

谢谢。

1 个答案:

答案 0 :(得分:0)

  

这些普通用户是否还有其他可能获取数据库内容?

没有。这就是数据库用户和权利的重点,因此用户只能访问他允许的数据。

  

是否使用户不是管理员足以保护用户免于转储数据库内容?

  

正在使应用程序用户=数据库用户,这是一个很好的安全实践吗?

是的,如果客户端应用程序可以访问数据库(通过TCP / IP)。

  

以前,为了进行身份验证,我们在数据库中使用自定义“用户”表,而不是数据库用户。

这是Web应用程序和其他3层系统(用户无权访问数据库)的常见解决方案。