Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este tópico descreve considerações de segurança específicas para o desenvolvimento, implementação e execução de aplicações que utilizam os Microsoft Drivers for PHP para SQL Server. Para informações mais detalhadas sobre a segurança do SQL Server, consulte a Visão Geral da Segurança do SQL Server.
Ligue-se Usando Autenticação Windows
A autenticação do Windows deve ser usada para se ligar ao SQL Server sempre que possível, pelas seguintes razões:
Nenhuma credencial é passada pela rede durante a autenticação. Nomes de utilizador e palavras-passe não estão incorporados na cadeia de ligação à base de dados. Portanto, utilizadores maliciosos ou atacantes não podem obter as credenciais monitorizando a rede ou visualizando cadeias de ligação dentro dos ficheiros de configuração.
Os utilizadores estão sujeitos a uma gestão centralizada da conta. Políticas de segurança, como períodos de expiração de palavras-passe, comprimentos mínimos das palavras-passe e bloqueio da conta após múltiplos pedidos de login inválidos serem aplicados.
Para informações sobre como se ligar a um servidor com Autenticação Windows, veja Como: Ligar usando Autenticação Windows.
Quando se liga usando a Autenticação do Windows, recomenda-se que configure o seu ambiente para que o SQL Server possa usar o protocolo de autenticação Kerberos. Para mais informações, veja Como garantir que está a usar autenticação Kerberos ao criar uma ligação remota a uma instância do SQL Server 2005 ou Autenticação Kerberos e SQL Server.
Use Ligações Encriptadas ao Transferir Dados Sensíveis
As ligações encriptadas devem ser usadas sempre que dados sensíveis forem enviados ou recuperados do SQL Server. Para informações sobre como ativar ligações encriptadas, consulte Como Permitir Ligações Encriptadas ao Motor de Base de Dados (SQL Server Configuration Manager). Para estabelecer uma ligação segura com os Microsoft Drivers para PHP para SQL Server, use o atributo Encrypt connection ao ligar-se ao servidor. Para mais informações sobre atributos de ligação, consulte Opções de Ligação.
Utilizar consultas parametrizadas
Use consultas parametrizadas para reduzir o risco de ataques por injeção SQL. Para exemplos de execução de consultas parametrizadas, veja Como: Realizar Consultas Parametrizadas.
Para mais informações sobre ataques de injeção SQL e considerações de segurança relacionadas, consulte Injeção SQL.
Não aceite informações de servidores ou strings de ligação dos utilizadores finais
Escreva aplicações de modo a que os utilizadores finais não possam submeter informações do servidor ou da cadeia de ligação à aplicação. Manter um controlo rigoroso sobre a informação do servidor e da cadeia de ligação reduz a área de superfície para atividades maliciosas.
Ativar WarningsAsErrors Durante o Desenvolvimento de Aplicações
Desenvolva aplicações com a definição WarningsAsErrors definida como true para que os avisos emitidos pelo driver sejam tratados como erros. Isto permitirá que respondas aos avisos antes de implementares a tua aplicação. Para mais informações, consulte Gestão de Erros e Avisos.
Registos Seguros para Aplicações Implementadas
Para aplicações implementadas, certifique-se de que os registos são escritos num local seguro ou que o registo está desligado. Isto ajuda a proteger contra a possibilidade de os utilizadores finais acedirem à informação que foi escrita nos ficheiros de log. Para mais informações, consulte Atividade de Registo.
Ver também
Guia de Programação para os Microsoft Drivers for PHP para SQL Server