对数据库连接应用最小权限

Question

我注意到大多数 FOSS 应用程序（例如 Wordpress）仅使用一组已被授予所有权限的数据库凭据。这似乎违反了最小特权原则。

在编写这样的应用程序时，使用多个帐户是否会更好，例如，一个帐户仅用于 SELECT 查询，另一个帐户用于 UPDATE 等？

Answer 1

这绝对违反了最小特权原则。让我们回到定义：

在信息安全、计算机科学等领域，
最小特权原则，又称最小特权原则
特权或最小特权，要求在特定的
计算环境的抽象层，每个模块（例如
基于我们所在层的进程、用户或程序
考虑到）必须能够仅访问此类信息并且
其合法目的所需的资源。

在您的 WordPress 示例中，公共用户使用 SQL 帐户从数据库中检索数据，该帐户还能够更改或删除该数据。该用户的“最低权限”不包括更改该数据的访问权限，无论该数据是直接位于表上还是通过存储过程。这绝对不符合“仅访问其合法目的所必需的信息和资源”的规定。。

SQL环境中的风险主要是SQL注入。一个小缺陷，如果该公共帐户有权造成损害，那么你最终会遇到各种各样的问题。是的，应该验证输入，是的，应该对查询进行参数化，但这是额外的一层防御，可以为您提供一些额外的保险。

我在 OWASP 中专门讨论了这一点.NET 开发人员前 10 名第 1 部分：注入。

Answer 2

我想如果只是为了维护问题的话，情况会更糟。一个用户意味着凭据位于一处，并且可以在同一位置为每台服务器更新它们。此外，大多数框架都假设设置一个凭据来统治所有框架，虽然允许两个以上的凭据并不太难，但更烦人。

有一些好处是，如果您有一个用户具有仅选择权限，则您不必担心 SQL 注入（当然不是在 Bobby Tables 级别），但即使这样也不能保证，所以无论如何你都必须清理你的数据输入（他们仍然可以基于 select 进行注入攻击......）。

Answer 3

最佳实践是向存储过程授予权限，而不是在表级别授予权限。