CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

jonesw Nybegynder

25. august 2008 - 12:07 Der er 5 kommentarer og
1 løsning

Sikkerhed: stored procedure vs. select

Dette er et mere overordnet spørgsmål. Hvis man har en server side som er skrevet i f.eks. C#, jsp eller lignende...
Hvad er mest sikkert?
Er det at lave en stored procedure i mysql (hvor man f.eks. laver en select sætning) og så kalde den fra server siden, eller er det at lave select sætningen på serversiden som så gør det samme?

Synes godt om

arne_v Ekspert

25. august 2008 - 15:00 #1

Begge loesninger kan laves meget sikre.

Stored procedure kan have en fordel, hvis de koerer med privs som ejeren af SP og ikke
med priv af kalder, fordi saa kan man via en SP selecte data som man ikke har adgang til
med en SELECT.

(og saa er der faerre som bruger dynamisk SQL med SP, men jeg antager at du bruger
parameters/prepared statement)

Synes godt om

jonesw Nybegynder

25. august 2008 - 18:25 #2

Ja de par storede procedures har været med parametere, men jeg er ikke helt sikker på at jeg forstår hvad du mener med priv?

Synes godt om

arne_v Ekspert

25. august 2008 - 18:42 #3

Naar en SP koeres saa kan der checkes to former for privs:
priv for den der staa som ejer af SP'en
priv for den som koerer SP'en

I MySQL kan du vaelge mellem dem.

Det er den foerste mulighed som er interessant i denne sammenhaeng.

Fordi saa kan du lave alle database operationer som SP'er ejet af et brugernavn som
har lov til at tilgaa tabellerne. Saa lade du applikationen logge ind med et
brugernavn som har adgang til at execute SP'erne men har ingen som helst adgang
til tabellerne. Dermed sikrer du dig at applikationen kun kan udfoere de
definerede SP'ere og ikke lidt hjemmestrikket SQL.

Synes godt om

jonesw Nybegynder

25. august 2008 - 18:59 #4

Okay, jeg tænkte nok at det var noget med privileges, men var ikke lige helt sikker hvilken en som jeg skulle bruge... Men det vil altså sige at den bruger som skal have love til kun at execute SP'erne skal have privilegiet EXECUTE i MySQL...Mange tak for hjælp og for at gøre det mere klart. Lig et svar og du får points..

Synes godt om

arne_v Ekspert

25. august 2008 - 19:48 #5

svar

Synes godt om

arne_v Ekspert

25. august 2008 - 19:49 #6

svar

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Database management kurser

Computerworld tilbyder specialiserede kurser i database-management

Se alle Database management kurser

Flere spørgsmål fra MySQL kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Auto Faktura.. Af SommerFyr i MySQL	21	13/08/202415:08	15/08/202417:54
Hjemmeside med bruger login Af FennekTheFox i MySQL	3	22/06/202411:29	29/06/202409:13
mysqldump - encoding Af mergelspir i MySQL	3	19/03/202414:25	19/03/202415:21
søgning mellem to set variable.. Af SommerFyr i MySQL	12	05/03/202421:45	06/03/202416:41
Etablering af simpelt bookingsystem til udlån af musikudstyr Af Jesper i MySQL	5	29/01/202412:58	31/01/202411:04

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS