数据库
首页 > 数据库> > mysql-将最低权限应用于数据库连接

mysql-将最低权限应用于数据库连接

作者:互联网

我注意到大多数FOSS应用程序(例如Wordpress)仅使用一组已授予所有权限的数据库凭据.这似乎违反了最小特权原则.

在编写这样的应用程序时,最好使用多个帐户,例如,仅用于SELECT查询的帐户,另一个用于UPDATE的帐户等?

解决方法:

这绝对违反了最小特权原则.让我们回到definition

In information security, computer science, and other fields, the
principle of least privilege, also known as the principle of minimal
privilege or just least privilege, requires that in a particular
abstraction layer of a computing environment, every module (such as a
process, a user or a program on the basis of the layer we are
considering) must be able to access only such information and
resources that are necessary to its legitimate purpose.

在您的Wordpress示例中,一个公共用户正在使用SQL帐户从数据库中检索数据,该帐户也具有更改或删除该数据的能力.该用户的“最低特权”将不包括更改数据的访问权限,无论该数据是否直接通过存储过程出现在表中.这绝对不符合“仅访问对其合法目的必要的信息和资源”.

SQL环境中的风险主要是SQL注入.一个小缺陷,如果该公共帐户有权造成损害,那么您最终会遇到各种各样的问题.是的,应该对输入进行验证,是的,应该对查询进行参数设置,但这是为您提供额外保险的另一层防御.

我在OWASP Top 10 for .NET developers part 1: Injection中专门谈到这一点.

标签:security,database-permissions,mysql
来源: https://codeday.me/bug/20191208/2089137.html