お世話になります。
SQL2000+asp.NETの環境で、SQLのプロシージャを実行させようとしています。
このプロシージャはテキストファイルを読み込んでデータベースに追加・削除するもので、ここで使用している関数は
・DELETE/UPDATE/INSERT
・BULK INSERT
・CURSOR
です。このプロシージャを実行させるには「.NETユーザー」に対し、
サーバーロールにてbulkadmin
ユーザ権限にてdd_ddladmin
の権限を付与すれば実行されることは確認しています。
ここで、ご質問なのですが、asp.NETでプログラミングされていらっしゃる方は、普通にWEBログインユーザーに上記権限を付与していらっしゃるのか知りたいのです。
逆に、この権限付与は危険だからsubプロシージャにて記述したほうがいいよとかお教えいただければ、と思います。
以上よろしくお願いいたします。
No.1ベストアンサー
- 回答日時:
セキュリティが気になるのでしょうか?
攻撃者にとって権限とかはあまり意味を成さないかと。
ご自信で自分の作ったプログラムに攻撃を仕掛けてみると分かると思いますが、権限があろうがなかろうと大して関係はありませんので。
権限が無くても、IISのプロセスに実行させてしまえば操作は全権限持ってるのと同様ですし。
セキュリティを意識するのであれば、POSTされたデータを直接通さない方がいいかと思います。
チェックボックスとかで数字以外入らないはずのフォームから文字列がきたりするので、そういったところをしっかりとエスケープしたりすることだけをしています。
自分は権限はとりあえず動けばいいので与えておいて、でもユーザーが起こすアクションには自由を与えないという風に作成していますね。
あまりセキュリティ対策に詳しくないので、自分が攻撃して突破できるところを全てふさいでいくっていう風に対策したらそうなりました。
ご参考までに。
アドバイスありがとうございます。
私はaspでプログラムを作成しているときにSQLインジェクションに攻撃された経験があるもので、リクエストにおいてはそういった対処をしてきました。
asp.netになってからframework側でいくつかの対策が打たれているため、作業がしやすくなったとの認識があります。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- MySQL 下の画像はSQLの4大命令の性質をまとめたものであるらしいです UPDATE INSERT DELE 1 2023/06/07 15:36
- MySQL #1062 - '0' は索引 'PRIMARY' で重複しています。とでています。 1 2023/01/01 06:13
- Visual Basic(VBA) vbaのvlookup関数エラー原因を教えていただけないでしょうか。 3 2022/04/25 16:16
- Visual Basic(VBA) 標準モジュール Public mOnTime As Date Sub sample() '実行プロシ 1 2023/02/22 15:44
- PostgreSQL SQLでUPSERTを一度に複数行やる方法 3 2022/03/25 15:17
- SQL Server AccessのInsertクエリのあとつづけてDeleteクエリを行いたいがSQLでどう書いたらいい 3 2023/05/27 14:12
- Visual Basic(VBA) 3つのプロシージャをまとめたら実行時エラー発生で対応不能 6 2022/05/17 01:47
- CGI perlで書いたcgiでsqliteの使い方を教えてください 2 2023/05/08 21:29
- その他(セキュリティ) 役所など、情報系システムのセキュリティが弱くても業務システムに問題ないか 3 2022/11/02 16:38
- Visual Basic(VBA) エクセル マクロ 指定日の指定時刻にプロシージャを実行 4 2022/04/17 16:44
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
バッチで当日日付で作成される...
-
エクセルに張り付けた写真のフ...
-
Windows10にデュアルブートでXP...
-
高校1年生情報の問題について。
-
プログラミング関係で質問です。
-
onedrive にexcelファイルをア...
-
Excel条件付き書式について
-
Accessのトグルボタンでサブフ...
-
キヤノン アソビカメラ iNSPiC ...
-
VBA 複数のテキストボックスと...
-
SPO2測定
-
エクセルのマクロについて教え...
-
インドe-Visa 承認書のApplicat...
-
SPIの非言語の割合と比が難しく...
-
SPIの対策は参考書でやるべきか?
-
LEDで電光掲示板に「A B C D E...
-
One Driveへのアクセス
-
LINE APIからasp.net の web サ...
-
Windows10エンタープライズ版をインス...
-
Ip アドレスて日毎に変わるんで...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
VBAでネットワーク上のバッ...
-
IIS7.5 Excel ファイルオープ...
-
ASP AccessDBオープン出来ない
-
ユーザーアカウント制御について
-
IUSR でCreateObject("Excel.Ap...
-
管理者権限のないユーザーだと...
-
EXCEL「Dictionaryオブジェクト...
-
VC++からのoracle接続方法
-
IISからログインしたWebサイ...
-
LogonUser関数が ERROR_PRIVIL...
-
VBS でユーザ名からそのユーザ...
-
IISのユーザについて
-
McAfeeの使い方
-
WinAPIでWindowsの権限を調べる...
-
Windowsサーバー、PHPでアクセ...
-
ASP.NET での処理表示について
-
ActiveXをダウンロードさせてた...
-
ASPで、IISの設定がうまくいき...
-
「Quick Homepage Maker(openQH...
-
Webの閲覧権限について
おすすめ情報