81,094
社区成员
发帖
与我相关
我的任务
分享大家能否说说数据库数字签名的做法?
在数据库中若密码被加密,但是我CP我的密码aa加密后的结果bb去覆盖任何X用户的密码,我那就能用bb加那个用户名X登陆了。这种非法篡改使用数字签名有什么成熟的做法没?最好能自动还原被改数据?
...全文
请发表友善的回复…
发表回复
shine333 2010-07-27
- 打赏
- 举报
你的问题没有意义。
首先,如果你有修改生产环境数据的权限,还需要登录系统?所谓家贼难防,如果有数据库权限,你再怎么防也白搭。只能从制度以及法律上,而不是技术上,保证这样的情况不会发生。
第二,之所以使用加密的密码,或者密码摘要(md5)目的就是不让其他人看到或者泄露密码明码。在数据库泄露的情况下,如果使用明码保存,其他人可以在你不易察觉的情况下登录(排除单账号单session登录,以及登录日志等)。而使用加密后的密码,一是不容易反推出明码,二则,即使发生你说的方式修改的情况,也容易被察觉——主要针对大量用户密码被修改的情况。
首先,如果你有修改生产环境数据的权限,还需要登录系统?所谓家贼难防,如果有数据库权限,你再怎么防也白搭。只能从制度以及法律上,而不是技术上,保证这样的情况不会发生。
第二,之所以使用加密的密码,或者密码摘要(md5)目的就是不让其他人看到或者泄露密码明码。在数据库泄露的情况下,如果使用明码保存,其他人可以在你不易察觉的情况下登录(排除单账号单session登录,以及登录日志等)。而使用加密后的密码,一是不容易反推出明码,二则,即使发生你说的方式修改的情况,也容易被察觉——主要针对大量用户密码被修改的情况。
hh3755 2010-07-27
- 打赏
- 举报
那你们做过数据库中字段表的数字签名没?这个有必要嘛?
muler1988 2010-07-27
- 打赏
- 举报
这么强大 没用过 
hh3755 2010-07-27
- 打赏
- 举报
[Quote=引用 3 楼 shine333 的回复:]
你的问题没有意义。
首先,如果你有修改生产环境数据的权限,还需要登录系统?所谓家贼难防,如果有数据库权限,你再怎么防也白搭。只能从制度以及法律上,而不是技术上,保证这样的情况不会发生。
第二,之所以使用加密的密码,或者密码摘要(md5)目的就是不让其他人看到或者泄露密码明码。在数据库泄露的情况下,如果使用明码保存,其他人可以在你不易察觉的情况下登录(排除单账号单session登录,以及登录日……
[/Quote]
数字签名还是有点意义的比如说是一个工作流,某个文件时候被批准在数据库中就是同意不同意这样的方式,如果我修改某个记录成同意了之后,岂不是就出现了问题了。
你的问题没有意义。
首先,如果你有修改生产环境数据的权限,还需要登录系统?所谓家贼难防,如果有数据库权限,你再怎么防也白搭。只能从制度以及法律上,而不是技术上,保证这样的情况不会发生。
第二,之所以使用加密的密码,或者密码摘要(md5)目的就是不让其他人看到或者泄露密码明码。在数据库泄露的情况下,如果使用明码保存,其他人可以在你不易察觉的情况下登录(排除单账号单session登录,以及登录日……
[/Quote]
数字签名还是有点意义的比如说是一个工作流,某个文件时候被批准在数据库中就是同意不同意这样的方式,如果我修改某个记录成同意了之后,岂不是就出现了问题了。
