来什么样的风险的情况下，就改动你的防火墙，是很不明智的。 

17．如何才能使web服务器作为专用网络上的一个数据库的前端呢？ 

实现这点的最佳途径是通过特定的协议在web服务器与数据库服务器之间允许很有限的连接。特定的协议只支持你将使用的功能的级别。允许原始SQL或其它任何可为攻击者利用来进行定制提取（extractions）的东西，一般来说不是一个好主意。 

假设攻击者能够进入你的web服务器，并以web服务器同样的方式进行查询。难道没有一种机制能提取web服务器不需要的像信用卡信息这样的敏感信息吗？攻击者难道不能发出一次SQL选择，然后提取你整个的专用数据库吗？ 

同其它所有应用一样，“电子商务”应用从一开始设计时就充分考虑到了安全问题，而不是以后再想起来“增加”安全性。应当从一个攻击者的角度，严格审查你的结构。假设攻击者了解你的结构的每一个细节。现在，再问问自己，想要窃取你的数据、进行非授权的改动或做其它任何你不想让做的事的话，应当做些什么。你可能会发现，不需要增加任何功能，只需做出一些设计和实施上的决策就可大大地增加安全性。

上一页  [1] [2] [3] [4] [5] [6] [7] [8]