BLOB 比允许对 Web 服务器上的目录进行写权限更安全

Question

我正在构建一个系统，允许输入数据库（如果需要，请考虑用户帐户）以具有与其关联的图像。这些都是小图像，而且数量不会很多。

我知道使用 BLOB 的一般优点/缺点，并且在这种情况下似乎不会成为问题。不过，这个项目的安全性很重要。那么，在我的 Windows 服务器上设置一个目录来存储用户上传的图像，而不是仅仅将图像作为 BLOB 粘贴到数据库中，是否更安全？

那么，网络用户将图像加载到服务器的潜在安全问题是否足以造成轻微的性能影响，或者我是否过于谨慎？

该网站是用 ASP.NET 4.0 构建的，数据库是 Sql Server 2008，我用来托管该网站的服务器可以是 Windows Server 2003 或 2008。

Answer 1

是的，在 SQL 数据库中使用 blob 来存储敏感信息是非常安全的。

1）彻底消除目录遍历问题。

2）轻松地逐个文件地应用访问控制并将其链接到用户/组。

3）数据库内置加密。

或者，一种安全且更快的方法是将文件存储在 Web 根目录之外。将文件名更改为主键，并将元数据（例如访问控制）存储在数据库中。当您提供文件时，asp.net 可以根据文件名查找主键并打开磁盘驱动器上的文件。

Answer 2

是的，它更安全。如果您使用 PHP，我可以提供一个具体的例子来说明原因。可以说，用户可能能够利用代码/系统中的漏洞，使他们能够执行看似图像中包含的代码。

编辑：当然，你必须防止 SQL 注入，但通常很清楚你是否做对了。