簡體 English 中英

下載並執行SQL腳本 - 有哪些安全問題+解決方案？

[英]Download and execute SQL script - what are the security issues + solutions?

原文 2011-09-23 22:15:06 0 2 c#/ .net/ sql/ sql-server

我的任務是設計一個.Net應用程序，它將從特定服務器下載一個sql腳本文件，並對數據庫執行該文件。 我可以想到一些我想要包含的安全步驟：

使用與服務器的安全連接（SFTP）
數據庫用戶只有一定的訪問權限（插入，更新特定表的數據）
我建議在單獨的數據庫實例中將事務沙箱化。 不幸的是，他們說傳輸數據集太大而不實用。

我主要擔心的是，不僅允許某人故意破壞非常大的數據庫中的信息，而且理想情況下，也有助於防止意外損壞。

問題：

我錯過了什么嗎？ 對於這種事情，是否有任何最佳實踐要記住？
針對中間人攻擊驗證服務器證書的最佳方法是什么？

2 個解決方案

要點1）

保留審核日志。
在任何可能的程度上，幫助用戶創建這些SQL腳本。 下拉選擇表名，單選按鈕選擇命令，列選擇器等......這有助於防止事故發生。
理想情況下，您可以在執行任何特定腳本之前回滾（考慮銀行如何重播您的交易以驗證您的帳戶余額，如果有任何疑問）。 根據更新頻率和這些數據的重要性，您可能只需要一些日常備份而不是實際的轉錄，可重復播放的歷史記錄。

要點2）

WinVerifyTrust以確保證書有效且具有有效的根。
CryptQueryObject用於檢查特定證書。

我會盡可能地限制你的第2點，但顯然你的腳本必須被允許做一些事情。 因此，您必須信任提供腳本的人。 為了確保您執行一個真正來自您信任的人的腳本，我會簽署腳本並在執行腳本之前驗證簽名。 所以你可以確定它沒有被其他人修改過。

使用帶參數的動態SQL是否安全？如果沒有，它可能會遇到哪些安全問題？

[英]is it safe using dynamic SQL with parameters? If not, what security issues might it be exposed to?

在創建文件時有哪些安全問題

[英]What are security issues in creating file

具有集成安全性的實體框架SQL連接問題

[英]Entity Framework SQL Connection issues with Integrated Security

自定義服務器控件的安全性存在哪些問題？

[英]What issues surround the security of a custom server control?

使用.net可執行文件執行SQL腳本

[英]Execute SQL Script with .net executable

用戶定義函數的SQL Server 2012安全問題

[英]Security issues on user defined functions for Sql server 2012

WPF SQL執行腳本文件ADO .net

[英]WPF SQL execute script file ADO .net

是否可以使用PetaPoco執行SQL腳本文件？

[英]Is it possible to execute an SQL script file using PetaPoco?

SQL SMO執行批處理TSQL腳本

[英]SQL SMO To Execute Batch TSQL Script

在C＃中使用USE DATABASE執行SQL腳本

[英]execute SQL script with USE DATABASE in C#

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 使用帶參數的動態SQL是否安全？如果沒有，它可能會遇到哪些安全問題？在創建文件時有哪些安全問題具有集成安全性的實體框架SQL連接問題自定義服務器控件的安全性存在哪些問題？使用.net可執行文件執行SQL腳本用戶定義函數的SQL Server 2012安全問題 WPF SQL執行腳本文件ADO .net 是否可以使用PetaPoco執行SQL腳本文件？ SQL SMO執行批處理TSQL腳本在C＃中使用USE DATABASE執行SQL腳本

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM