PL/SQL security guidelines for developers

最新推荐文章于 2019-06-12 09:47:24 发布
最新推荐文章于 2019-06-12 09:47:24 发布
阅读量965 收藏 1
点赞数
分类专栏: Security 文章标签: security 加密 oracle sql import ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fantian830211/article/details/1739888
版权
 
PL/SQL security guidelines for developers
 
安全的重要性不言而喻,不过和多时候,不管我们做什么开发,这个话题都不太好做到保险,对于我们开发人员来说,从开发人员的角度保证程序的安全性也是非常重要的,这样可以最大限度地保证我们的系统的安全。
最近一直都在使用PL/SQL进行开发,有事没事地学习这个咚咚,不过我发现比较容易让人忽略的部分就是PL/SQL的安全性,这里我把最近学习的东西记录一下。
l         提高用户的安全意识
很多开发者肯定面对过我们的最终用户,呵呵,我们平时不能认为他们的安全意识有很高,其实他们很多时候都不太注意,所以我们系统给他们用的时候,一定要告诉他们什么地方比较敏感,不要泄露。    
l         不要在shell脚本中泄露密码
记得以前我登陆数据库的时候都是:sqlplus username/password as sysdba, 后来有一次培训的时候老师说到这样比较危险,就是别的用户用ps –ef就可以看到我的用户名和密码,呵呵,后来再也不那么干了,虽然我的机器只是用来开发。
其实比较正确而且省事的做法就是把用户名密码隐藏,然后设置一下权限,不让别人读写什么的,然后:
Sqlplus /nolog
@connect.sql –用户密码保存在这里
 
最近sql loader也用的比较多,呵呵,因为import数据的时候,总是要用到用户名和密码,于是用到下面的办法:
1、 把我的用户名密码保存在下面的文件中:
connect.sql
2、 用下面的做法就可以了(Unix)
cat connect.sql | sqlldr control=………………  
l         Code review
         过程和函数有时候也能够被sql injection, 呵呵,所以,有时候仔细地阅读代码是非常重要的,有时候能够发现一些漏洞。
        从书上学到的窍门:
1、 如果可能的话,用Authid current_user(调用者权限)来创建程序
2、 尽量避免用动态的PL/SQL
3、 如果要用动态的PL/SQL,一定要在运行之前check动态部分的有效性
4、 尽量check输入的数据
5、 尽量使用绑定变量,尽量不要用字符串连接
l         加密数据
数据传输的过程中被窃听很容易的,所以数据的加密是非常必要的,可以使用下面的办法:
1、 使用SSL
2、 自己加密数据或者使用Oracle自带的加密工具
l         加密代码
当我们的代码让别人看到的时候,别人就可以研究代码并且发现漏洞,在Oracle中很容易看代码吧,点几下鼠标就看到了,呵呵!
可以用Oracle的wrap命令来加码我们的PL/SQL文件,方法如下:
wrap iname=inputfile oname=outputfile
这样最大的好处是我们的程序文件是完全不影响使用的,呵呵!
 
以上这些我比较认同是我们开发人员应该在日常开发中注意的东西,其实对于开发人员来讲,做到程序的安全是比较容易地,只要我们平时意识到,并且稍微多做点工作就好了。
 
fantian830211
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oracle Applications Multiple Organizations Access Control for Custom Code
11-06 5814
文档 ID 420787.1 White Paper Oracle Applications Multiple Organizations Access Control for Custom Code Checked for relevance on 12-JAN-2011 See Change Record This document discusses how to
2008最新2000多本最有价值的程序设计电子教程下载
syd168的专栏
11-09 1万+
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z OT A 回顶部A Computational Differential Geometry Approach to Grid Generation Second E
Security Ressources Sites
cnbird's blog
03-07 1111
Security Ressources SitesOperating systems architecturehttp://www.argus-systems.com/product/white_paper/pitbull/oss/ PitBull Foundation OS-Level Security http://www.argus-systems.com/product/white
Security Ressources
Tobylili的小窝
01-04 1729
Security Ressources SitesOperating systems architecturehttp://www.argus-systems.com/product/white_paper/pitbull/oss/ PitBull Foundation OS-Level Security http://www.argus-systems.com/product/white
Security concern in connection pooling
0.0
02-16 6930
http://asktom.oracle.com/pls/asktom/f?p=100:11:0::::P11_QUESTION_ID:22140261281764 关于jdbc pool,oralce package-level variable的一些讨论   Submitted on 12-Aug-2004 11:50 Central time zoneToms
Working with Strings(使用Oracle字符串)
老徐的博客只有干货
08-20 2322
Working with Strings By Steven Feuerstein    Part 3 in a series of articles on understanding and using PL/SQL Every application needs data. That seems rather obvious, doesn’t it? An application is
Github收藏之Awesome C/C++
把自己当做自己,把别人当做别人;把自己当做别人,把别人当做自己
07-17 4452
Awesome C/C++关于C/C++的框架,库,资源,原文出自Awesome C/C++ A curated list of awesome C/C++ frameworks, libraries, resources, and shiny things. Inspired by awesome-… stuff. Awesome C/C++ Standard Libraries Fram
Globalization Guide for Oracle Applications Release 12
热门推荐
weixin_30650859的博客
12-15 1万+
Section 1: OverviewSection 2: InstallingSection 3: ConfiguringSection 4: MaintainingSection 5: UsingSection 6: CustomizingSection 7: TranslatingSection 8: TroubleshootingAppendix A: Mi...
【11g】用C、c++和Java实现数据盒
viviliving的专栏
06-12 371
5Implementing Data Cartridges in C, C++, and Java 本章描述如何使用C、c++和Java实现数据盒的方法。方法是定义在使用数据盒定义的数据上允许的操作的过程和函数。重点是与开发和调试外部过程相关的问题。 This chapter contains these topics: Using External Procedures U...
NIST:Security Guidelines for Storage Infrastructure
最新发布
11-10
存储安全方向。美国国家标准指导文献。 NIST Special Publication 800-209 Security Guidelines for Storage Infrastructure
PL_SQL-basic.rar_Guidelines
09-20
Technology PL/SQL Disciplined PL/SQL By Steven Feuerstein Four simple guidelines for improving the quantity and quality of PL/SQL code you write
GTI Security Guidelines for 5G-Enabled Vertical Industries
09-17
GTI Security Guidelines for 5G-Enabled Vertical Industries
LVD 2006/95/EC + GUIDELINES
09-20
DIRECTIVE 2006/95/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL + GUIDELINES ON THE APPLICATION OF DIRECTIVE 2006/95/EC (2007) 都是英文版
Web application security
Divine Mind
07-22 2346
Web application securityBy 姚 皋(yaogao)Neusoft Shenyang Liaoning Province P.R.Cyaogao@gmail.com PrefaceAs a web application developer, I want to develop perfect software. It is correct, rob
基于角色的权限控制(MENU)
Divine Mind
12-16 2176
 基于角色的权限控制(MENU) 基于角色的权限控制是我们常见的权限控制方法,今天想了一个方法来实现根据权限显示Menu,用Menu来进行权限控制的需求还是比较常见的。1.  Menu如图  MENU
关于权限控制的一点点想法(BS, Java)
Divine Mind
11-11 1363
 关于权限控制的一点点想法(BS, Java)我们很多人每天总是需要和不同的系统打交道,我们都很清楚,与系统打交道的第一步就是有一个用户名密码进行登陆,然后才能获得接下来行为的权限。一般情况下,系统肯定会需要一个权限系统来管理系统的资源。1. 基于角色的权限控制的表设计--用户信息USER_INFO(  USER_ID PRIMARY KEY, PASSWORD,
SQL Injection Attacks and Defense
Divine Mind
07-06 836
SQL Injection Attacks and Defense
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值