ホームページ  >  記事  >  バックエンド開発  >  ユーザーが自分でデータを見つけられるように、SQL ステートメントを開きたいのですが、データベースはサーバー上にありません。セキュリティ上の問題はありますか?

ユーザーが自分でデータを見つけられるように、SQL ステートメントを開きたいのですが、データベースはサーバー上にありません。セキュリティ上の問題はありますか?

WBOY
WBOYオリジナル
2016-06-23 13:09:03720ブラウズ

データベースは顧客自身のものであり、他の場所で購入された可能性があります

しかし、データ処理プログラムは私のサーバー上にあり、私のプログラムがデータを処理した後、データは顧客のデータベースにリモートで保存されます

これは私にとってどれほど有害ですか。サーバ?

シーンは次のとおりです:
顧客は私の管理背景にログインし、ページ上の情報フォームに入力します。フォームの内容は一切フィルタリングしません。
その後、入力されたデータベース情報に従ってフォーム情報を処理します。顧客が入力し、顧客データベースにリンクして保存します
もちろん、ここでは、顧客が SQL ステートメントを入力し、自分のデータを見つけるために自分のデータベースにリンクすることも指定します

質問:
顧客が悪意がある場合、これらのアクセス操作により、プログラムやサーバーにどのような問題が発生しますか?
クエリされたデータが表示されると、サーバーのセキュリティに問題が発生しますか?サーバー側またはクライアント側のスクリプトなど
サーバーのセキュリティを強化する方法はありますか?


ディスカッションへの返信(解決策)

はい、複数検証の場合は正規表現等を記述できます

はい、複数検証の場合は正規表現等を記述できます



主にどのような問題が防止されますか?

このように SQL ステートメントを直接開くと、他の情報を入力する人がいることは避けられず、セキュリティに隠れた危険が生じます。 SQL ステートメントは制限およびフィルター処理でき、個々のテーブルも制限できます。不要な情報漏洩を防ぐため。

このように SQL ステートメントを直接開くと、他の情報を入力する人がいることは避けられず、セキュリティに隠れた危険が生じます。 SQL ステートメントは制限およびフィルター処理でき、個々のテーブルも制限できます。不要な情報漏洩を防ぐため。



このデータベースはお客様自身の個人的な使用のためのものなので、お客様が望むものは何でもチェックできます。今はサーバーへの影響を優先します

何かあるでしょうか?

ユーザーが自分のデータベースに対して悪意を持っている場合、それはあなたと何の関係がありますか?
ユーザーはサーバー経由で自分のリモート サーバーにアクセスしますが、これは実際のアプリケーションでは問題になります:
1. リモート サーバーはサーバーの IP アドレスを認証する必要があります
2. リモート サーバーへのアクセスは、ローカル サーバーへのアクセスよりも大幅に時間がかかります
3.ユーザーは自分のデータベース ホスティングをあなたに追加しているため、当然、データの損失、破損、漏洩などのリスクを負う必要があります。

ユーザーが自分のデータベースに対して悪意がある場合、それは何と関係がありますかあなた?
ユーザーはサーバー経由で自分のリモート サーバーにアクセスしますが、これは実際のアプリケーションでは問題になります:
1. リモート サーバーはサーバーの IP アドレスを認証する必要があります
2. リモート サーバーへのアクセスは、ローカル サーバーへのアクセスよりも大幅に時間がかかります
3. . ユーザーは独自のデータベースホスティングを追加するため、データの損失、破損、漏洩などのリスクは当然負担する必要があります



あなたの言った 3 つの点は理解できます。ユーザーのデータベースは私が管理しています。許可取得後はデータが遅くなることが考えられます。データはユーザーのものであるため、データベースエラーの問題についても最初にユーザーに宣言します
ほとんどのユーザーは私の基本的な機能のみを使用し、オープンSQLクエリは要件がある顧客向けです
ので、私は今懸念しています私のプログラムとサーバーのセキュリティの問題
ユーザーデータに関しては、各ユーザーのデータベースは独立しているため、自分のデータベースが損傷する心配はありません
しかし、私のプログラムを損傷した場合、問題は大きくなり、私に影響が及びます 他のユーザーによる使用

たとえば、私のサーバーには phpMyAdmin がインストールされていますが、各ユーザーは自分のデータベースを操作します
顧客によるそのような操作は、私の phpMyAdmin プログラムに損傷を与えますか?
クライアントに対してこれを行うとサーバーにダメージを与えますか?
ユーザーの操作は phpMyAdmin に損害を与えることはありません

ただし、ユーザーは phpmyadmin のような個人版ツールを介して他の人のデータベースにアクセスする可能性があり、それによって他の人に損失が生じる可能性があります

ユーザーの操作は phpMyAdmin に損害を与えることはありません

ただし、ユーザーは phpmyadmin を使用して他の人のデータベースにアクセスすることはできますphpmyadmin のこの個人バージョンは、他の人のデータベースにアクセスするために使用され、それによって他の人に損失を与えます


つまり、サーバーとプログラムには大きな影響はないということですか?
ユーザーが他の人のデータベースにアクセスするためにこのツールを使用するかどうかは問題ではありません。そのユーザーが他の人のデータベースのアドレスとアカウントのパスワードを知っているのであれば、そのユーザーに操作させてみてはいかがでしょうか。
誰かがあなたのメールアカウントとパスワードを知っているのと同じように
、あなたがあなたのメールを削除したい場合、メールプロバイダーはそれを削除しないのでしょうか?

これらの操作を公開することによって私のプログラムとサーバーが問題を引き起こさないと確信できる限り
、私が考えたプログラムは開発を続けることができます
ユーザーがコンテンツにスクリプトトロイの木馬ウイルスを挿入した場合、ユーザーは実行します表示されたコンテンツを取得するときにこれらのスクリプトを実行する必要があります
つまり、これらの問題の内容をデータベースに書き込むのは、問題を引き起こした人自身です
、開かないのが最善です。 、。 。 。

SQL はユーザー独自のデータベースを操作し、php を実行するための環境とコードを提供するだけなので害はありません。問題ない。

SQL はユーザー独自のデータベースを操作し、php を実行するための環境とコードを提供するだけなので害はありません。問題ない。

何か問題が発生した場合、それはおそらく彼のページだけですよね?
顧客のフォームはここで処理されますが、通常の操作や文字の結合や置換などのいくつかの方法も使用されます。これらの方法に抜け穴がある場合、それらを保護することを目的としているだけですか?

あなたは潜在的な脅威についての議論を拒否したので、必要なものだけを取るというこの議論はもはや必要ありません

あなたは潜在的な脅威についての議論を拒否したので、必要なものだけを取るというこの議論はもはや必要ありません。続行する必要はありません

データベースだけの Web サイトは脅威ですか?
サーバーのセキュリティは脅威ではありませんか?

サーバースクリプトの実行の脆弱性からサーバーのゲストユーザー権限を取得できるということではありませんでしたか?

あまり詳しくないので詳しく知りたいです

一部のファイル書き込み操作やコマンドの実行など、フィルタリングの確認はまだ必要です。フィルターをかけます。

SQL はユーザー独自のデータベースを操作し、php を実行するための環境とコードを提供するだけなので害はありません。問題ない。

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。