本模块说明如何构建安全的数据访问代码,以及如何避免常见的漏洞和缺陷。本模块提供了一系列对策和防御技术,您可以在自己的数据访问代码中使用它们来减少与数据访问有关的主要威胁。
目标
使用本模块可以实现:
•设计、构建和部署安全的数据访问代码。
•使用代码访问安全性和基于角色的安全性可以限制未经授权的调用方或代码的访问。
•安全地验证用户的身份。
•防止 SQL 注入攻击。
•确保数据库连接字符串的安全。
•使用加密机制来保护存储在数据库中的数据。
•确保通过网络发送到数据库以及从数据库发送的数据的安全。
•使用带有salt 的哈希值将密码安全地存储在数据库中。
•实现安全的异常处理。
•了解如何使用代码访问安全性,允许中等信任 Web 应用程序使用 OLE DB、Oracle 和 ODBC 数据提供程序(这些提供程序需要完全信任)。
•了解应使用哪些对策来解决常见的数据访问威胁,包括 SQL 注入、配置数据泄露、敏感的应用程序数据泄露、数据库架构和连接详细信息的泄露、未授权的访问和网络窃听。