28,405
社区成员
发帖
与我相关
我的任务
分享【数据连接问题】ODBC 性能与 IUser_ServerName 权限
大家好!
我写了一个 ActiveX DLL 用于 ASP,
但连接 SQL SERVER 时我不想明确指定用户名/口令,
又不想使用 ODBC(可能会影响性能).
问题:
1. 使用ODBC确实影响性能吗?
2. 如果我直接为 IUSR_Server 指定相应数据库权限, 会出什么问题吗(主要指安全问题)?
比如使用下列连接字符串:
Provider=SQLOLEDB.1;Integrated Security=SSPI;Initial Catalog=CSDN;Data Source=.
谢谢!
我写了一个 ActiveX DLL 用于 ASP,
但连接 SQL SERVER 时我不想明确指定用户名/口令,
又不想使用 ODBC(可能会影响性能).
问题:
1. 使用ODBC确实影响性能吗?
2. 如果我直接为 IUSR_Server 指定相应数据库权限, 会出什么问题吗(主要指安全问题)?
比如使用下列连接字符串:
Provider=SQLOLEDB.1;Integrated Security=SSPI;Initial Catalog=CSDN;Data Source=.
谢谢!
...全文
请发表友善的回复…
发表回复
孔南 2006-03-01
- 打赏
- 举报
再顶一次~ 明天之前结贴
KimSoft 2006-02-28
- 打赏
- 举报
一般情况下是不会的,除非你的IIS不能解释asp了,另,你可以加强服务器安全设置,使别的机器不能通过1433端口连接你的服务器,这样别人就是知道了服务器的用户名和密码也连接不进来了。再加强其它方面的安全设置。
孔南 2006-02-28
- 打赏
- 举报
感谢 boyd1985(http://www.ahbvc.cn:8080) 的回复.
我所指的为 IUSR 开放权限是单个数据库的权限,
这个使用 net user 应该查不到(应该查不到吧? 我不确定...).
并且 IUSR 用户默认为"禁止在本地登录"(应该不好利用吧? 我也不确定...).
我没有找到相应的文档, 如果您有关于此用户安全性的描述, 希望您能给个链接. 谢谢.
另外, 如果"微软推荐用OLEDB"的话, 那么就需要在连接字符串中指定用户名和密码,
在出现错误的情况下, 这个用户名和密码有没有可能显示在客户端?
我所指的为 IUSR 开放权限是单个数据库的权限,
这个使用 net user 应该查不到(应该查不到吧? 我不确定...).
并且 IUSR 用户默认为"禁止在本地登录"(应该不好利用吧? 我也不确定...).
我没有找到相应的文档, 如果您有关于此用户安全性的描述, 希望您能给个链接. 谢谢.
另外, 如果"微软推荐用OLEDB"的话, 那么就需要在连接字符串中指定用户名和密码,
在出现错误的情况下, 这个用户名和密码有没有可能显示在客户端?
竹林听雨2005 2006-02-28
- 打赏
- 举报
一般黑客通过net user来查看服务器用户及权限,如果你这方面给人家打开大门的话,那他们来攻击你的服务器简直是轻而易举的事。
竹林听雨2005 2006-02-28
- 打赏
- 举报
如果开通了IUSR的权限,那很容易被黑客攻击到的
孔南 2006-02-28
- 打赏
- 举报
感谢 KimSoft(革命的小酒天天醉) 的回复.
我想问一下为 IUSR 开通权限的主要威胁在哪儿?
我想问一下为 IUSR 开通权限的主要威胁在哪儿?
KimSoft 2006-02-28
- 打赏
- 举报
1、微软推荐用OLEDB
2、不过取,太不安全了。
2、不过取,太不安全了。
孔南 2006-02-28
- 打赏
- 举报
好像通过 SQL SERVER 的"应用程序角色"可以防止非法连接数据库.
联机丛书中的描述如下:
作为应用程序角色使用的示例,假设用户 Sue 运行销售应用程序,该应用程序要求在数据库 Sales 中的表 Products 和 Orders 上有 SELECT、UPDATE 和 INSERT 权限,但她在使用 SQL 查询分析器或任何其它工具访问 Products 或 Orders 表时不应有 SELECT、INSERT 或 UPDATE 权限。若要确保如此,可以创建一个拒绝 Products 和 Orders 表上的 SELECT、INSERT 或 UPDATE 权限的用户-数据库角色,然后将 Sue 添加为该数据库角色的成员。接着在 Sales 数据库中创建带有 Products 和 Orders 表上的 SELECT、INSERT 和 UPDATE 权限的应用程序角色。当应用程序运行时,它通过使用 sp_setapprole 提供密码激活应用程序,并获得访问 Products 和 Orders 表的权限。如果 Sue 尝试使用除该应用程序外的任何其它工具登录到 SQL Server 实例,则将无法访问 Products 或 Orders 表。
但其中并未明确指出是哪个应用程序. 您有使用"应用程序角色"的经验吗? 谢谢!
联机丛书中的描述如下:
作为应用程序角色使用的示例,假设用户 Sue 运行销售应用程序,该应用程序要求在数据库 Sales 中的表 Products 和 Orders 上有 SELECT、UPDATE 和 INSERT 权限,但她在使用 SQL 查询分析器或任何其它工具访问 Products 或 Orders 表时不应有 SELECT、INSERT 或 UPDATE 权限。若要确保如此,可以创建一个拒绝 Products 和 Orders 表上的 SELECT、INSERT 或 UPDATE 权限的用户-数据库角色,然后将 Sue 添加为该数据库角色的成员。接着在 Sales 数据库中创建带有 Products 和 Orders 表上的 SELECT、INSERT 和 UPDATE 权限的应用程序角色。当应用程序运行时,它通过使用 sp_setapprole 提供密码激活应用程序,并获得访问 Products 和 Orders 表的权限。如果 Sue 尝试使用除该应用程序外的任何其它工具登录到 SQL Server 实例,则将无法访问 Products 或 Orders 表。
但其中并未明确指出是哪个应用程序. 您有使用"应用程序角色"的经验吗? 谢谢!
