Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym temacie opisano zagadnienia dotyczące zabezpieczeń specyficzne dla opracowywania, wdrażania i uruchamiania aplikacji korzystających ze sterowników firmy Microsoft dla języka PHP dla programu SQL Server. Aby uzyskać bardziej szczegółowe informacje na temat zabezpieczeń programu SQL Server, zobacz Omówienie zabezpieczeń programu SQL Server.
Nawiązywanie połączenia przy użyciu uwierzytelniania systemu Windows
Uwierzytelnianie systemu Windows powinno być używane do nawiązywania połączenia z programem SQL Server, jeśli jest to możliwe z następujących powodów:
Podczas uwierzytelniania żadne poświadczenia nie są przekazywane przez sieć. Nazwy użytkowników i hasła nie są osadzone w parametrach połączenia bazy danych. W związku z tym złośliwi użytkownicy lub osoby atakujące nie mogą uzyskać poświadczeń przez monitorowanie sieci lub wyświetlanie parametrów połączenia wewnątrz plików konfiguracji.
Użytkownicy podlegają scentralizowanym zarządzaniu kontami. Zasady zabezpieczeń, takie jak okresy wygaśnięcia haseł, minimalna długość haseł i blokada konta po wielu nieudanych próbach logowania, są egzekwowane.
Aby uzyskać informacje o sposobie nawiązywania połączenia z serwerem przy użyciu uwierzytelniania systemu Windows, zobacz Instrukcje: nawiązywanie połączenia przy użyciu uwierzytelniania systemu Windows.
Podczas nawiązywania połączenia przy użyciu uwierzytelniania systemu Windows zaleca się skonfigurowanie środowiska tak, aby program SQL Server mógł używać protokołu uwierzytelniania Kerberos. Aby uzyskać więcej informacji, zobacz Jak upewnić się, że używasz uwierzytelniania Kerberos podczas tworzenia połączenia zdalnego z wystąpieniem SQL Server 2005 lub Uwierzytelnianie Kerberos i SQL Server.
Używanie szyfrowanych połączeń podczas przesyłania poufnych danych
Połączenia szyfrowane powinny być używane za każdym razem, gdy poufne dane są wysyłane do programu SQL Server lub pobierane z programu SQL Server. Aby uzyskać informacje o sposobie włączania połączeń zaszyfrowanych, zobacz How to Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager) (Jak włączyć szyfrowane połączenia z aparatem bazy danych (SQL Server Configuration Manager). Aby nawiązać bezpieczne połączenie ze sterownikami firmy Microsoft dla języka PHP dla programu SQL Server, użyj atrybutu Szyfruj połączenie podczas nawiązywania połączenia z serwerem. Aby uzyskać więcej informacji na temat atrybutów połączenia, zobacz Opcje połączenia.
Korzystanie z zapytań sparametryzowanych
Użyj zapytań sparametryzowanych, aby zmniejszyć ryzyko ataków polegających na wstrzyknięciu kodu SQL. Przykłady wykonywania sparametryzowanych zapytań można znaleźć w temacie Instrukcje: wykonywanie zapytań sparametryzowanych.
Aby uzyskać więcej informacji na temat ataków polegających na wstrzyknięciu kodu SQL i powiązanych zagadnieniach dotyczących zabezpieczeń, zobacz Wstrzykiwanie kodu SQL.
Nie akceptuj informacji o serwerze lub parametrach połączenia od użytkowników końcowych
Napisz aplikacje, aby użytkownicy końcowi nie mogli przesyłać informacji o parametrach połączenia ani serwera do aplikacji. Utrzymanie ścisłej kontroli nad serwerem i informacjami o parametrach połączenia zmniejsza obszar powierzchni dla złośliwych działań.
Włączanie funkcji WarningsAsErrors podczas tworzenia aplikacji
Twórz aplikacje przy użyciu ustawienia WarningsAsErrors ustawionego na wartość true , aby ostrzeżenia wydane przez sterownik były traktowane jako błędy. Umożliwi to rozwiązanie ostrzeżeń przed wdrożeniem aplikacji. Aby uzyskać więcej informacji, zobacz Obsługa błędów i ostrzeżeń.
Bezpieczne dzienniki dla wdrożonej aplikacji
W przypadku wdrożonych aplikacji upewnij się, że dzienniki są zapisywane w bezpiecznej lokalizacji lub że rejestrowanie jest wyłączone. Pomaga to chronić przed możliwością uzyskiwania przez użytkowników końcowych dostępu do informacji zapisanych w plikach dziennika. Aby uzyskać więcej informacji, zobacz Rejestrowanie aktywności.
Zobacz też
Przewodnik programowania dla sterowników firmy Microsoft dla języka PHP dla programu SQL Server