为什么C/S没有数据库连接的安全性?
为什么C/S没有数据库连接的安全性?
提问于 2011-12-06 09:10:38
我开发的应用程序可以将文件发送到FTP服务器,同时也可以从客户端应用程序更新数据库。当客户听说这样的配置时,出于安全考虑,他不允许我进行配置(他是这么说的)。
这就是为什么他建议在文件被放到ftp服务器上之后,当文件被触发时,另一个应用程序存在于ftp服务器更新数据库中。
在这种情况下,通过客户端应用程序更新数据库是不安全的?谁能给我举个例子?
还有……还有一件事,使用文件作为触发器是不方便的。因此,如果我使用web应用程序(它称为web服务?只需向客户端提供URL,即可执行更新数据库服务。)而不是ftp服务器上的文件作为触发器。像这样的配置还能保证安全性吗??
回答 2
Stack Overflow用户
回答已采纳
发布于 2011-12-06 09:16:49
客户端应用程序直接更新数据库具有潜在危险的原因是,它需要数据库登录凭据才能供客户端使用。根据定义,使它们对客户端可用也会使这些凭据对运行客户端的机器的所有者可用。如果我是恶意攻击者,我可以:
- ...通过对客户端软件进行反向工程,或者通过观察网络流量,
- ...使用这些凭据连接到您的数据库,
- ...在数据库上执行客户端帐户有权执行的任何命令。
如果让服务器更新数据库,则不需要提供数据库凭据,并且可以确保仅在文件实际成功传输时才更新数据库,而不是“虚假”(无缘无故)。
Stack Overflow用户
发布于 2011-12-06 09:15:31
没有使用安全套接字层的客户端/服务器连接是安全的。
- 使用SFTP或SCP传输文件。
- 使用HTTPS调用web服务,并将客户端应用程序验证为连接到数据库服务器的本地端口转发
通道。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/8394107
复制相关文章
相似问题
腾讯云开发者
