休眠安全担忧:休眠与存储过程

1. NHibernate可以映射到存储过程而不是表
2. 如果愿意,可以将读取操作映射到表/视图,并将插入/更新/删除操作映射到存储过程
3. nhibernate确实会生成参数化的SQL,即不存在SQL注入的机会。
4. 如果您决定映射到表和/或视图上,则用户权限始终可以限制为某些表上的某些操作。
5. 大多数使用存储过程的项目都是从为每个表生成CRUD过程并为所有表分配执行权限开始的-这并不比允许表访问更安全。

我假设Hibernate使用参数化查询。这将减轻对SQL注入的大部分关注。您还可以阻止用户帐户执行数据库中的所有操作。它根本不需要是SA帐户。

如果我没有弄错,请使用参数化的SQL查询。这将停止注射。

当然,Hibernate只是SQL上的一个ORM层。

在上添加show_sql=true属性,向他们显示正在生成的SQL,他们将看到它的确切功能(前面提到的参数化查询)。

冬眠 可以 与使用存储过程相比,DBA的安全性要低一些,因为理论上,DBA可以限制用户只访问调用存储过程,而不是直接访问基础数据结构。

在实践中,根据我的经验,这种类型的安全性很少以有意义的方式实现。如果为每个CRUD操作编写了一个存储过程,并且用户被授予了访问所有存储过程的权限,那么这与仅仅授予底层结构本身的权限没有真正的区别。

如果对公司进行SOX或安全合规性审计,他们可能会因为不使用存储过程而受到指责。

可以在存储过程上使用Hibernate,但是 it seems like a pain in the ass .