极客观点
项目管理
HarmonyOS
没接触过网络安全,请教各位大佬,把用户信息放到数据库后怎么保证安全?
mongodb
像sql server数据库有两个安全主体
1、登录名
即是服务器为安全主体,在登录时有windows验证,以及SQL验证,Windows验证是用本机的用户直接可以登录连接数据库,而SQL验证就需要输入账号、密码,这时候就需要有一个强密码,来保证其安全。
2、用户
数据库级主体,需要在本机权限最大的用户中设置其他用户的权限,没有该最大权限用户的设置,其他用户就无法访问数据库,甚至增删改查数据库
首先,你的前端以及后端代码要保证其安全性,不能出现XXS或者SQL注入等攻击漏洞,再者就是数据库服务器与Web服务器进行分离,这样即可以提高一部分的安全性能也可以使网站提升效率。另外用户信息中的密码最好全部通过特定的加密方式进行加密处理之后再存储到数据库,保证其被盗取之后盗取者也很难知道其真实密码,望采纳!
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
js 如何将Key属性相同的放在同一个数组?
{代码...} 说明:id和name是动态的,有可能后台返回的是age和school,不是固定id和name想要的结果是; {代码...}10 回答11.1k 阅读
为什么在谷歌浏览器中 'a' == ['a'] 返回 true?
'a' == ['a'] 谷歌浏览器返回了true 是为什么16 回答3k 阅读
vue项目如何在初始化之前跳转外部页面?
vue项目内有一个分享功能,但是这个分享出去的页面打开会非常慢,所以就想到了单独写了一套H5页面专门用于手机端打开,然后在这个vue项目的分享页面初始化函数里面加一个判断终端是否为移动端,如果是就再做一次跳转,到这个单独的H5页面上去,这样就不会去加载vue框架,打开速度会更快。以上是初始方案和预期。5 回答4.8k 阅读✓ 已解决
js如何控制移动端overflow:scroll容器滑动的最大速度?
{代码...} demo在这:[链接]在移动端滑动一下这个.box区域,稍微一用力就到头了,如果我想用js去控制他滑动的最大速度该怎么去处理?4 回答3.1k 阅读✓ 已解决
前端代码更新如何通知用户刷新页面?
前端代码更新如何通知用户刷新页面?2 回答2.7k 阅读✓ 已解决
我们知道MySQL字段可以存放纯文本,但是富文本有图片,有标题样式等情况,一般是怎么进行存储的呢?
有一个需求:想要进行富文本进行描述。但是我们想要使用关系型数据库MySQL存储这个描述文件,请问一般的解决方法是什么样的呢?举例:富文本编辑器lexical我们知道MySQL字段可以存放纯文本,但是有图片,有标题样式等情况,一般是怎么进行存储的呢?5 回答3.2k 阅读✓ 已解决
在PHP的Yii框架下如何对接人大金仓数据库呢?
最近在做国产数据库的迁移,那么在PHP的Yii框架下如何对接人大金仓数据库呢?3 回答2.3k 阅读✓ 已解决
题主你这个问题问得好大... 从以下几个方面着手吧:
数据库权限:连数据库不要老用root,给web应用单独开帐号,最小化权限
数据库密码:不要弱密码,尽量搞个随机生成的16位以上的密码
web服务器:同数据库,密码尽量复杂化,尽量不要直接用root帐号,单独开帐号,只有在必须需要的时候才用root
web应用:
尽量选一个好点的DB库或ORM库,使用参数化的SQL查询,不要直接把参数拼在SQL里面,防止SQL注入
用户(包括后台管理用户)的密码信息不要直接存储,应加盐hash后再存储
如果可以,尽量使用HTTPS
渲染HTML的时候,尽量使用编码后再输出,防止XSS
非得输出一段用户控制的富文本HTML的时候,使用htmlpurifier这样的过滤器,防止XSS
遵循HTTP动词语义,增删改类操作使用POST/DELETE/PUT,并增加csrf_token,防止CSRF攻击
暂时想到这么多,web安全还有很多要注意的点,建议LZ直接请个安全顾问吧。