將oracle內置的安全特性用于PHP
來源:易賢網 閱讀:1043 次 日期:2015-04-21 14:09:31
溫馨提示:易賢網小編為您整理了“將oracle內置的安全特性用于PHP”,方便廣大網友查閱!

當今大多數(shù) Web 應用程序都需要至少采用某種基本的安全策略。例如,提供用口令保護的內容的網站、僅具有管理員后端的網站、網志和個人雜志、電子商務網站、企業(yè)內聯(lián)網,等等。

構建這些類型的 Web 應用程序最常用的設計方法是將安全策略整合到 Web 應用程序的業(yè)務邏輯中,即由應用程序決定某個用戶是否有權訪問中的某個數(shù)據。在這種情形下,的角色僅為存儲數(shù)據和依請求提供數(shù)據。換句話說,如果 Web 應用程序命令提供特定信息,則會直接執(zhí)行該命令而不檢查用戶的權限。

在該文中,您將學習如何利用 Oracle 內置的安全特性在級執(zhí)行應用程序安全規(guī)則,以提高應用程序的整體安全性。作為附帶的好處,直接在中實現(xiàn)數(shù)據訪問安全不但有助于提高應用程的安全性,而且有助于降低復雜性。

對端安全性的需求

從 Web 應用程序控制數(shù)據訪問會怎么樣?大多數(shù)情況下沒有問題;這是個不錯的解決方案,尤其是在涉及的數(shù)據為非任務關鍵或絕密的時候。許多書和在線資源中都用到了該方法。實際上,有本很受歡迎的 PHP/MySQL 書明確反對每個應用程序創(chuàng)建一個以上的用戶帳戶,這是因為“額外的用戶或復雜的權限會因某個操作在繼續(xù)前要檢查更多的信息而降低 MySQL 的執(zhí)行速度”。確實如此;但是,在放棄將安全性整合到邏輯中的想法前可能要考慮幾件事情。我們來看以下示例。

假設創(chuàng)建一個內容管理系統(tǒng) (CMS)。其中使用來存儲網站上發(fā)布的內容。大部分數(shù)據是公開的,允許匿名 Web 用戶讀??;但只允許編輯更改數(shù)據。使用單一帳戶訪問和修改中的記錄,并通過用口令保護僅管理員可以訪問的頁面的訪問權限用 PHP 代碼控制安全性。

如果 Web 應用程序的公共端遭受了一個諸如公共搜索表單(即編碼不夠嚴密的表單)上的 SQL 注入的攻擊,則該入侵者可能能夠對該公共帳戶可以訪問的對象執(zhí)行任意 SQL 語句。當然,就這里的情形而言,執(zhí)行 SELECT 語句不會造成什么大問題,這是因為數(shù)據本來就是公共的。但由于公共權限和管理權限使用同一帳戶,因此入侵者還能執(zhí)行 UPDATE 和 DELETE 語句,甚至是從中刪除表。

怎么才能防止該情況的發(fā)生呢?最簡單的方法就是徹底限制公共帳戶修改數(shù)據的權限。我們來看看 Oracle 是如何解決這個問題的。

Oracle 安全性基本概述

Oracle 為 Web 開發(fā)人員提供了控制數(shù)據訪問的許多方法,從管理對特定對象(如表、視圖和過程)的訪問到控制個別行或列的數(shù)據的訪問。很顯然,對 Oracle 每個安全特性或可用選項的討論超出了本文的范圍。在這里,我們將不涉及過多細節(jié),而僅介紹 Oracle 數(shù)據訪問安全性的最基本方面:

·驗證和用戶帳戶

·權限

·角色

驗證和用戶帳戶。 與其他一樣,請求訪問 Oracle 的每個用戶(帳戶)必須通過驗證。驗證工作可以由、或網絡服務來做。除基本的驗證(口令驗證)外,Oracle 還支持強驗證機制,如Kerberos、CyberSafe、RADIUS,等等。

角色。 Oracle 角色是一個權限的有名集。盡管可以直接授予用戶帳戶權限,但使用角色可以極大簡化用戶管理,尤其是需要管理大量用戶時。創(chuàng)建易管理的小角色,然后根據用戶的安全級別授予用戶一個或多個角色,這樣做的效率非常高。更不用說修改權限變得如何簡單了 — 只需修改角色關聯(lián)的角色即可,無需修改每個用戶帳戶。

為了簡化新用戶創(chuàng)建初期的工作,Oracle 自帶了三個預定義的角色:

·CONNECT 角色 — 該角色使用戶可以連接以及執(zhí)行基本的操作,如創(chuàng)建自己的表。默認情況下,該角色不能訪問其他用戶的表。

·RESOURCE 角色 — RESOURCE 角色與 CONNECT 角色相似,但它允許用戶擁有較多的系統(tǒng)權限,如創(chuàng)建觸發(fā)器或存儲過程。

·DBA 角色 — 允許用戶擁有所有系統(tǒng)權限。

更多信息請查看IT技術專欄

更多信息請查看數(shù)據庫
易賢網手機網站地址:將oracle內置的安全特性用于PHP

2026國考·省考課程試聽報名

  • 報班類型
  • 姓名
  • 手機號
  • 驗證碼
關于我們 | 聯(lián)系我們 | 人才招聘 | 網站聲明 | 網站幫助 | 非正式的簡要咨詢 | 簡要咨詢須知 | 新媒體/短視頻平臺 | 手機站點 | 投訴建議
工業(yè)和信息化部備案號:滇ICP備2023014141號-1 云南省教育廳備案號:云教ICP備0901021 滇公網安備53010202001879號 人力資源服務許可證:(云)人服證字(2023)第0102001523號
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關注公眾號:hfpxwx
咨詢QQ:1093837350(9:00—18:00)版權所有:易賢網