江苏龙网

  1. 首页 > 生活 > >

Web 开发中服务端的数据加密有啥好方案

额。您似乎没弄明白。这个数据库里面的东西和web端的东西是两码事。其实只要通过web程序里面的功能访问数据库并且有良好的组织架构必然不会出现以上问题。我一点点的分析。1. 服务端数据库被「脱裤」之后,用户信息仍不会被泄漏;1.1如果web程序服务器和数据库不在一个服务器上那么至少需要攻破web服务器。达到一定权限才能使用其他方式访问另外的数据库服务器(SQL注入不在此方式之内)。SQL注入现在有很多方式可以防止。比如对用户输入使用安全的函数进行转化。1.2假设脱裤后用户信息不会泄露。假设用户注册的数据库表由以下信息构成,1.ID,2.用户名,3.密码,4.电子邮件地址,5.姓名,6.身份证。其中敏感数据应该是2.3.4.5.6为了防止脱裤的非法用户查看到以上内容可以加密处理。但是需求里面应该有这么一项“我应该能够看到并且修改自己的注册信息”。那就需要在设计的时候确定这个需求或者接收这个风险。2. 没有用户的授权,任何人包括 Web 服务的管理人员都不能访问明文数据;实际上在只使用系统提供的接口里面访问数据的情况下web服务管理人员也确实没办法访问明文数据(因为数据库软件就不在此)。除非是用其他网络方式访问数据库服务器。3. 可以在一定程度上被检索。这个需要在数据库与web程序编写和确定需求的时候就预知需要检索的功能。1. 用户数据可以方便的导入导出;单独写个功能实现就行了,明确权责。最好定期备份只是干备份和还原的事情。而不是干我备份那一条和还原那一条的事情。2. 不同用户间数据独立;设计需求的时候考虑好架构。3. 检索与统计服务尽可能少的读取原始数据;用程序接口或者视图功能吧。4. 最好基于真实的或虚拟的文件系统实现。虚拟的我不懂,直接用另外一个(群)服务器作为数据库服务器即可。1. 此场合是否能够应用 PGP 技术?浏览器到web端的加密一般使用SSL v3/TLS V1协议。但是除了登陆功能以外一般都不怎么需要该功能。除非是支付什么的敏感功能。2. Web 服务能否在前端用 JavaScript 实现相当量级的数据的加密、解密甚至检索?JS用于加密或者解密太不安全了。除非是使用网银那样的方式用js调用C或者C++这样的。检索更不需要js了。还是数据库来实现的好。以上部分其实并没有解决Web 开发中服务端的数据加密有什么好方案?只是说了用良好的网络架构和程序架构就能解决大部分数据泄露的问题。接下来单独讲讲用户注册的数据库表由以下信息构成,1.ID,2.用户名,3.密码中3.密码怎么保存到数据库中的问题。方法就是对密码进行加密。比如用户名zhaozilong.密码zhaozilong.需要的效果是使密码存储的时候显示的不是zhaozilong。方法是直接使用加盐的方式再用公开的密码算法加密即可达到如下效果。比如md5("zhaozilong20150121") 其中盐的值额外保存即可。
■网友
这个很简单的。
【Web 开发中服务端的数据加密有啥好方案】 只要做分离就行了。产品服务器和db服务器分开,然后对db服务器做加密就可以了。
至于产品这里,用sqlalchemy封装一层,程序员使用的时候跟没加密没区别。


■网友
我是想回答的,可是看到楼上写了一堆,我觉得题主可能也看不懂,因为这问题问的很外行,我还是放弃了。折叠我。


    推荐阅读


    上一篇:程序猿,听说你们都是怪大叔是真的吗

    下一篇:苹果的iphone和洛克希德的F35开发哪个难度更大