web数据库安全通信课件.pptx

Web 数据库安全通信;Web数据库安全通信 --组员：郭泳梅，袁帅，余涛，贾红梅，饶顶峰--演讲人：郭泳梅 ;SQL注入;1.1 攻击原理;1.2 攻击方式 ;2 防止注入攻击;3 安全数据库连接;3.1 数据库身份验证;3.2 数据库授权;如果上述权限控制还不能满足需要，则允许更进一步细化授权。使用命令类型的权限或者显示地角色监控属性。 Using System.Security; Using System.Security.Permissions; Public void DisplayCustomerInfo(int CustId){ Try{ //执行角色检测 //是否为manager PrincipalPermission PrincipalPerm=new PrincipalPermission(null,”Manager”); //该范围内的代码只在授权者范围内执行 //角色”Manager” }catch(SecurityException ex){ … } } ;运用显示地方式，实现角色检查以确保调用方属于Manager角色成员。 Public void DisplayCustomerInfo(int CustId){ If(!Thread.CurrentPrincipal.IsInRole(“Manager”) { … } };假设只希望公司或者特定的开发单位编??的代码能够使用数据访问组件，应该使用一个强签名属性StrongNameIdentityPermissio,并要求调用方程序集拥有指定公钥的强名称，代码如下： Using System.Security.Permissions; … [StrongNameIdentityPermission(SecurityAction.LinkDemand,PublicKey=“0083…8dbf”)] Public void GetCustomerInfo (int CustId){ };3.3 数据库安全配置;虽然开发人员可以使用受限的注册表项提高安全性，但还是需要将加密的字符串存储在Web.config文件中以便更容易地进行部署。在这种情况下，可以使用自定义的配置节appSetting，代码如下： ?xml version=“1.0” encoding=“utf-8” ? configuration appSettings add key=“connectionString” value=“AQA..bIE=“/ /appSettings system.web … /system.web /configuration;3.4 数据库加密;3.5 数据库反馈信息保护;3.6 LINQ技术;3.7 数据库安全部署