- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一个正在开发的 SaaS 平台;用 PHP 编写并使用 MySQL 数据库(使用 PHP PDO 类)。
该应用程序已经可以正常运行,我决定为每个实例使用一个单独的数据库。
使用多个数据库的原因之一是确保客户端数据是分开的(并希望是安全的)。这也使我们能够轻松地将他们的实例转移到本地版本。
安全一直是我担心的事情。我想确保这个系统在上线之前尽可能安全。
目前我们使用一个 MySQL 用户名和密码来访问每个数据库(在特定的 MySQL 场上)。
理论上,如果存在安全漏洞,那么攻击者可能能够访问不同的数据库(在建立 PDO/数据库连接后,用户名和密码未设置,但他们可能能够运行查询,例如“使用 databaseB ").
这是我应该关心的事情吗?例如,仅使用数据库分区的 SaaS 平台已经不太安全,因为简单的 SQL 错误可能会暴露客户端数据。
我已经开始考虑使用不同的数据库用户名和密码,但这确实增加了 SaaS 平台的复杂性,保持简单总是一个好主意。
谢谢!
我决定为每个实例使用不同的用户名和密码。
这是另一层安全性,不会造成伤害。
最佳答案
Theoretically if there was a security breach then the attacker might be able to access a different database (username & password is unset after the PDO/Database connection is made, but they might be able to run a query such as "use databaseB").
Is this something that I should be concerned about? For example a SaaS platform that simply uses database partitioning is already less secure as a simple SQL error could expose client data.
1) 如果您正在做您的安全权利,他们应该很难(如果不是不可能的话)手动编写查询。
2)你刚才提出的问题是为什么我会提倡在数据库之间使用不同的用户/密码。
3) 我鼓励多个数据库连接的另一个原因......我为一家拥有大约 10 名运营人员的公司制作了制造控制软件。没过多久数据库就变大了。多个数据库将保持大小控制优于 1。
4) 如果我只使用一个数据库,我会更担心客户通过权限问题这样简单的问题意外访问另一家公司的信息。
关于数据库分区的问题我仍然挥之不去(我还没有研究/测试过)......我对如何处理与 1 个数据库的数百个连接有很好的理解。当您只处理与一百个数据库的几个连接时会发生什么?
关于php - SaaS 平台 - 每个用户或一个主账户的不同数据库用户,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9763404/
我在 cordova@7.1.0、cordova-ios@4.5.2 下运行。安装平台:ios 4.5.2。 我运行 npm install、bower install,然后运行 cordova
我正在使用 VSTS 构建 IOS,运行命令后出现以下错误:cordova build ios 平台“android”似乎不是有效的 cordova 平台。它缺少 API.js。不支持安卓。 Cord
您使用什么软件/Wiki 来编写和分享有关开发人员、测试人员和管理人员的规范? 你使用维基系统,如果是,你使用什么维基软件? 或者您是否使用 Sharepoint 来管理和版本规范?将 SharePo
这是一家销售完整软件套件/平台的公司的示例 www.ql2.com/technology/platform.php 我想知道这样的套件/平台是如何开发的?你必须使用J2EE吗? 我更感兴趣的是这家公司
这个问题不太可能对任何 future 的访客有帮助;它只与一个较小的地理区域、一个特定的时间点或一个非常狭窄的情况相关,通常不适用于全世界的互联网受众。如需帮助使此问题更广泛适用,visit the
我有一个连接到套接字连接的应用程序,并且该连接向我发送了很多信息..可以说每秒 300 个订单(也许更多)..我有一个类(它就像一个监听器,对某个事件(并且该事件具有顺序)接收该顺序。创建一个对象,然
我即将开始一个 Netbeans 平台的项目。有没有人推荐他们用过并觉得有用的书籍或教程? 编辑: 这是一个已经开发好的swing应用。 最佳答案 除了 NetBeans 网站上的教程外,我还喜欢这本
有没有什么好的方法可以以非特定语言的方式定义接口(interface)/类层次结构,然后以特定语言生成相应的源代码?特别是,我需要同时针对 Java 和 C# 来创建一个相当全面的 API。我记得有一
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 8 年前。 Improve
大家晚上好我使用 API 平台,我想在创建实体时自动将所有者添加到我的实体中。我创建了一个事件来覆盖 API 平台,它获取当前用户并添加它。但是我的事件永远不会发生,但它确实存在于 debug:eve
这是一个有点奇怪的元编程问题,但我意识到我的新项目不需要完整的 MVC 框架,作为一个 Rails 人,我不确定现在该使用什么。 为您提供必要功能的要点;该网站将显示静态页面,但用户将能够登录并“编辑
这两天我的信息有点过载。 我打算建立自己的网站,允许本地企业列出他们的打折商品,然后用户可以进来搜索“Abercrombie T 恤”,然后就会列出出售它们的商店。 这是一个非常棒的小项目,我真的很兴
我的任务是为产品的下一代版本评估“企业”平台。我们目前正在考虑两种“类型”的平台——RAD(工作流引擎、集成 UI、工作流“技术插件”的小核心、状态的自动持久化……),例如 SalesForce.co
我需要一个不依赖于特定语言或构建系统的依赖管理器。我研究了几个优秀的工具(Gradle、Bazel、Hunter、Biicode、Conan 等),但没有一个能满足我的要求(见下文)。我还使用了 Gi
我在 Symfony 4 Flex 应用程序中使用 API Platform v2.2.5,该应用程序由一个功能 API 和 JWT Authentication 组成。 ,一些资源默认Open AP
虽然隐私法通常不属于我们开发人员的管辖范围,但我确实认为这是一个重要的话题,因为我们开发人员应该有责任警告我们的雇主,如果他们想要的东西会违反一些法律......在这种情况下,隐私法......通常情
我已经下载了 VisualVM 源代码,并尝试使用 Netbeans 7.01 编译 Glassfish 插件。这样做会导致以下错误: C:\source\visualvm\trunk\plugins
尝试 gradle 同步后...失败并在消息对话框中显示 Missing Android platform(s) detected: 'android-26' Install missing plat
大家好!我最近开始使用 Cordova,当我运行 Cordova platform add android 时,出现以下错误。我已经成功放置了 Java 和 Android SDK 的环境变量。但 n
已关闭。这个问题是 off-topic 。目前不接受答案。 想要改进这个问题吗? Update the question所以它是on-topic用于堆栈溢出。 已关闭10 年前。 Improve th
我是一名优秀的程序员,十分优秀!