资料库名称.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 17.5.5 安全性控制 1.採用視窗表(View)的方法來隱藏敏感的資料，以防止未經授權的使用者 執行非法行為。 2.由授權系統決定每一個使用者對每一個資料表的使用權力，以控制使用者對資料庫之資料的存取權力。 例如: GRANT SELECT ON TABLE VSAL TO 張三 表示授予{張三}對視窗表VSAL具有存取資料(SELECT)的權力 * 17.6 多層式資料庫 多層式資料庫是以強迫式存取策略(Mandatory Access Control)為基礎之資料庫。 依使用者職位或等級不同，而有不同之安全等級。 * 17.6.1 多層式資料表 多層式資料表，是指一般資料表內，每一基本資料項(Atomic)、資料錄(Tuple)、屬性(Attribute)或欄位、及資料表(Table)本身均有一相對應之安全等級。 多層式資料表 * 實體完整性規則 - 關聯基表(Base Relation)之主鍵(Primary Key)，其所有屬性項均不可為虛值(Null Value)。 參考完整性規則 - 關聯基表之外鍵(Foreign Key)值必須存在於其他關聯基表之主鍵，否則此外鍵需為虛值。 * 完整性規則 17.6.2 資料多重性問題 假如，有一位一般使用者新增一筆（A03、黃品硯、60K）資料錄，由於一般使用者從表中並不知有A03這筆資料（事實上它是存在，只是一般使用者沒有權限讀取），此時資料庫管理系統若以資料重複為理由拒絕該一般使用者儲存，該使用者將知曉資料庫中有A03之資料，反而洩漏此資訊。若資料庫管理系統允許儲存此筆資料，如此又將造成資料重複問題，稱為資料多重性問題(Polyinstantiation)。 * 違反多層式實體完整性規則 違反實體完整性規則 * 違反參考完整性規則 * 違反多層式參考完整性規則 多重列錄(Polyinstantiated Tuple) 新增一筆紀錄 * 多重資料 * 正常身分認證連線 SELECT * FROM member WHERE UID = ‘ request(“ID”) ’ AND Passwd = ‘ request(“Pwd”) ’; UID = ‘A123456789’ Passwd = ‘1234’ SELECT * FROM member WHERE UID = ‘A123456789’ AND Passwd = ‘1234’; 17.7 資訊隱碼攻擊 * 正常連線狀態 * 資訊隱碼攻擊 SQL Injection攻擊 SELECT * FROM member WHERE UID = ‘ request(“ID”) ’ AND Passwd = ‘ request(“Pwd”) ’; UID = ‘Admin’ -- ’ Passwd = ‘ ’ SELECT * FROM member WHERE UID = ‘Admin’ --’ AND Passwd = ‘ ’; * * SQL Injection攻擊 SELECT * FROM member WHERE UID = ‘ request(“ID”) ’ AND Passwd = ‘ request(“Pwd”) ’; UID = ‘ ’ OR 1=1 -- ’ Passwd = ‘12345’ SELECT * FROM member WHERE UID = ‘ ’ OR 1=1 --’ AND Passwd = ‘ 12345’; * SQL Injection攻擊 SQL Injection其他輸入指令 輸入的SQL指令 產生的後果 ;SHUTDOWN-- 停止SQL伺服器 ;DROP Database 資料庫名稱-- 刪除資料庫 ;DROP Table 資料表名稱-- 刪除資料表 ;DELETE FROM 資料表名稱-- 刪除資料表 ;Truncate Table 資料表名稱-- 清空資料表 * SQL Injection的防範 1.網頁程式撰寫方面 (1)過濾輸入條件 (2)過濾可能隱含的SQL指令 (3)針對輸入條件進行規範 2.資料庫管制方面 (1)SA管理帳號的密碼管控 (2)刪除多餘的公開資料表、範例等 (3)移除不必要但功能強大的延伸預存程序 (Extended Stored Procedure) * 3.網站伺服器方面 (1)定期