我們在服務器模式下使用Java + H2數據庫,因爲我們不希望用戶訪問數據庫文件。H2數據庫:防止用戶傾銷數據庫內容(SCRIPT,BACKUP等)
admin創建的所有數據庫用戶都是普通用戶(不是管理員)。那些普通用戶有沒有其他的可能性來獲取數據庫內容?我嘗試過SCRIPT和BACKUP命令,並且因爲需要管理員權限而失敗。這很好:)
使用戶不是管理員足以保護用戶免受傾銷數據庫內容?
更多,正在申請user =數據庫用戶,一個很好的安全實踐?以前,對於身份驗證,我們在數據庫中使用自定義「用戶」表,而不是數據庫用戶。
謝謝。
那些普通用戶有沒有其他的可能性來獲取數據庫內容?
不。這是數據庫用戶和權利的重點,因此用戶只能訪問允許的數據。
讓用戶不是管理員就足以保護用戶免受傾銷數據庫內容?
是的。
正在申請user = database用戶,一個很好的安全實踐?
是的,如果客戶端應用程序有權訪問數據庫(通過TCP/IP)。
以前,對於身份驗證,我們在數據庫中使用自定義「用戶」表,而不是數據庫用戶。
這是Web應用程序和其他3層系統(用戶無權訪問數據庫)的通用解決方案。
是否有可能阻止普通用戶訪問information_schema? – Andy 2011-05-27 08:12:08
嗯,普通用戶應該沒有或只有有限的信息訪問權限......我目前看到他們有完整的閱讀權限。這不好,我會盡力解決這個問題。目前沒有辦法阻止用戶訪問表。 – 2011-05-27 09:07:43
由於這是[H2數據庫:如何使用加密進行保護,而無需公開文件加密密鑰]的可能副本(http://stackoverflow.com/questions/6148415/h2-database-how-to-protect-with -encryption-without-exposing-file-encryption-key),請更新您的原始問題。 – trashgod 2011-05-27 06:34:01
這不是重複的。這個問題是關於一旦用戶登錄到H2控制檯,保護常規用戶轉儲的數據庫內容。另外,我還問了關於使用數據庫用戶作爲應用程序用戶的編程習慣。另一個問題(鏈接)是關於隱藏加密密鑰。 – Andy 2011-05-27 07:42:11