如何爲Django應用程序配置數據庫權限？

Question

我正在尋找鏈接或答案，以瞭解如何正確配置數據庫權限以保護Django應用程序？爲了清楚起見，我正在專門討論處理數據庫授權的材料，而不是Django框架本身的權限。

Answer 1

我通常：

grant all privileges on my_db.* to my_user@localhost identified by 'my_user_pass' 
grant all privileges on test_my_db.* to my_user@localhost identified by 'my_user_pass' 

我想，如果有在Django的錯誤，你可能會打開你的數據庫恢復到可怕的事情，但如果有這麼大的安全你有其他問題django洞。

django最低限度需要選擇，插入，更新和刪除操作。如果你使用測試或syncdb，你還需要能夠創建表和索引（也許是加載sql fixtures的文件權限）。

因此，對於MySQL數據庫，我猜想最佳的一組權限可能是選擇，插入，更新，刪除，創建，索引和文件。如果你想得到真正的實質，你可以有選擇地在表級別（而不是數據庫級別）上授予這些權限。

就我個人而言，我發現grant all ...更容易打字。

Answer 2

配置數據庫級權限的目的是什麼？如果你的服務器受到攻擊，那麼攻擊者就可以對你的數據庫做任何事情（因爲他有登錄/密碼），而且許可證無濟於事。如果你的服務器是安全的，那麼權限是無用的。

如果您的數據庫服務器可從外部世界獲得，權限可能是有意義的，但這樣做並不是一個好主意。

Answer 3

從Django文檔：

https://docs.djangoproject.com/en/dev/topics/install/

「如果你打算使用Django的manage.py執行syncdb命令來自動創建您的模型數據庫表（後首次安裝Django和創建一個項目），你你需要確保Django有權限創建和修改你正在使用的數據庫中的表;如果你打算手動創建這些表，你可以簡單地授予Django SELECT，INSERT，UPDATE和DELETE權限在某些數據庫上，Django將在syncdb期間需要ALTER TABLE特權，但一旦syncdb創建它就不會在表上發出ALTER TABLE語句。創建數據庫後，我們呃具有這些權限，您將在項目的設置文件中指定詳細信息，請參閱DATABASES以獲取詳細信息。「

Answer 4

我剛剛用MySQL測試了初始設置。對於python manage.py migrate你至少需要簡單的操作如下補助（如果喲使用DB-製劑）：

1. CREATE，ALTER，INDEX
2. SELECT，UPDATE，插圖，DELETE

而且，通過方式 - 安全至關重要。您可以通過限制系統暴露來降低攻擊影響。在這種情況下 - 你可以限制'DROP' - 這是相當大的加。如果你留下一些棘手的漏洞並具備SQL注入的能力 - 你可能會減少損害。我將在未來研究如果它不會損害刪除DELETE關鍵字 - 這也將限制潛在的威脅。只是因爲我們都不時留下錯誤:)