web数据库安全通信.pptxVIP

Web 数据库安全通信;Web数据库安全通信 --组员：郭泳梅，袁帅，余涛，贾红梅，饶顶峰--演讲人：郭泳梅 ;SQL注入;1.1 攻击原理;1.2 攻击方式 ;1.3 防范方法;2 防止注入攻击;3 安全数据库连接;3.1 数据库身份验证;3.2 数据库授权;如果上述权限控制还不能满足需要，则允许更进一步细化授权。使用命令类型的权限或者显示地角色监控属性。 Using System.Security; Using System.Security.Permissions; Public void DisplayCustomerInfo(int CustId){ Try{ //执行角色检测 //是否为manager PrincipalPermission PrincipalPerm=new PrincipalPermission(null,”Manager”); //该范围内的代码只在授权者范围内执行 //角色”Manager” }catch(SecurityException ex){ … } } ;运用显示地方式，实现角色检查以确保调用方属于Manager角色成员。 Public void DisplayCustomerInfo(int CustId){ If(!Thread.CurrentPrincipal.IsInRole(“Manager”) { … } };假设只希望公司或者特定的开发单位编写的代码能够使用数据访问组件，应该使用一个强签名属性StrongNameIdentityPermissio,并要求调用方程序集拥有指定公钥的强名称，代码如下： Using System.Security.Permissions; … [StrongNameIdentityPermission(SecurityAction.LinkDemand,PublicKey=“0083…8dbf”)] Public void GetCustomerInfo (int CustId){ };3.3 数据库安全配置;虽然开发人员可以使用受限的注册表项提高安全性，但还是需要将加密的字符串存储在Web.config文件中以便更容易地进行部署。在这种情况下，可以使用自定义的配置节appSetting，代码如下： ?xml version=“1.0” encoding=“utf-8” ? configuration appSettings add key=“connectionString” value=“AQA..bIE=“/ /appSettings system.web … /system.web /configuration;3.4 数据库加密;3.5 数据库反馈信息保护;3.6 LINQ技术;3.7 数据库安全部署