你还在使用存储过程吗?

上周,reddit 网 r/dotnet 区的网友 technolang 发帖:「你还在使用存储过程吗?」

在这里插入图片描述

我很好奇为什么 2024 年了我们还在使用存储过程。难道网络应用中没有一个业务层来处理所有事情吗?依赖 DBA 并在数据库层创建依赖关系似乎没有必要。另外,存储过程调试起来很麻烦。所以它有什么好处呢?

网友 xabrol 给出了非常用心的回答。

在这里插入图片描述

他说:

我不是说教,只是讲点事实。

我从事咨询行业,曾在银行和抵押贷款公司工作。我与数以百计的客户合作过,见过你能想象到的所有环境。大多数年收入超过十亿美元的大公司都有数据仓库,而应用程序开发者并没有太多的数据库访问权限。很多时候这很糟糕,但这是很多开发者不得不面对的现实。

我目前的一个客户根本不给任何访问权限,我们只能通过 RDP 虚拟桌面来使用他们的代码或系统;他们甚至不给我们配备笔记本电脑。我们必须构建和编写所有代码,通过虚拟桌面处理所有事务,而且不能复制粘贴到虚拟桌面;还必须详细记录每个开发者需要访问的电子表格、合理解释为什么开发者需要访问数据库或表格。我们团队中只有一个人能访问整个数据库。

大多数公司都不信任他们的开发者编写安全的代码。这是有道理的,因为每 10 个能写出基本的 20 页垃圾应用程序的开发者中,只有一个能产出有点用的东西。

他们也不冤枉。

我曾与开发者和企业家一起参加过扩充代码库的电话会议。开发者在电话中大谈他们的应用程序很好,为什么它可以拥有现有的访问权限,以及它有多么现代化和安全。然后我看了代码 – 我见过的最大的一堆烫手的垃圾。我发现了至少 6 个安全漏洞,它们公然允许我访问数据库或文件系统。

还有一次,有一个应用的应用池是以管理员身份运行的;他们有一个上传图片的文件上传功能,在那里我可以上传任何文件,甚至是可执行文件。这个网站是在 asp.net 网页表单上运行的,当时还是 2016 年。因此,你可以上传一个带有运行时脚本的 aspx 文件来运行 shell 命令,然后你可以通过上传路径浏览它,就像浏览普通的 aspx 页面一样,然后引擎就会渲染它并以管理员身份运行 shell 命令。

而且「超级安全」。他们的开发者也引以为豪。不过他们很快都被抓包,现在都不在那里工作了。

这就是为什么很多大公司都有超级严格的政策和环境,因为他们的开发者根本不知道自己在做什么。他们不知道如何正确设置安全的服务器环境、如何用正确的权限模式构建数据库,还把连接字符串的详细信息存储在应用程序设置文件中。而一群有权限获取的开发者可以看到这些连接字符串…

我可以说上一整天。

当你的公司每年赚 400 亿美元时,你必须保护自己免受最薄弱环节的影响。很多公司都喜欢外包,所以他们需要确保自己有一个安全的环境,在所有方面都是权限最低的。


db-master说:

有时候存储过程操作起来确实繁琐。怎样才能兼顾安全与操作的简明呢?

在这里插入图片描述

Bytebase 能为你解决 😼


💡 更多资讯,请关注 Bytebase 公号:Bytebase

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/455542.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【WRF数据处理】基于GIS4WRF插件将geotiff数据转为tiff(geogrid,WPS所需数据)

【WRF数据处理】基于GIS4WRF插件将geotiff数据转为tiff(geogrid,WPS所需数据) 数据准备:以叶面积指数LAI为例QGis实操:基于GIS4WRF插件将geotiff数据转为tiff警告:GIS4WRF: Input layer had an unexpected …

ONLYOFFICE 文档8.2版本已发布:PDF 协作编辑、改进界面、性能优化等更新

ONLYOFFICE 在线编辑器最新版本已经发布,其中包含30多个新功能和500多个错误修复。阅读本文了解所有更新。 关于 ONLYOFFICE 文档 ONLYOFFICE 是一个开源项目,专注于高级和安全的文档处理。坐拥全球超过 1500 万用户,ONLYOFFICE 是在线办公领…

2024年 Spring Boot 系列学习宝典!!!!!

欢迎来到Spring Boot的世界!本系列文章旨在为开发者提供从入门到精通的全面指导,无论你是Spring Boot新手还是有经验的开发者,都能在这里找到有价值的内容。让我们一起踏上这段旅程,探索如何使用Spring Boot构建高效、可扩展的应用…

Redis底层和缓存雪崩,击穿,穿透

一、Redis的数据结构 1.动态字符串 我们知道Redis中保存的Key是字符串,value往往hi字符串或者字符串的集合。可见字符串是Redis中最常用的一种数据结构。不过,Redis 没有直接使用c语言的字符串,因为c语言字符串存在许多问题: …

蚁剑连接本地木马文件报错

项目场景: 本地搭建php和蚁剑环境,连接本地木马文件ma.php 问题描述 使用蚁剑连接localhost时报错 错误{ "address":"127.0.0.1" "code":"ECONNREFUSED", "errno":"ECONNREFUSED", &qu…

【Kubernetes实战】Kubernetes集群搭建(虚拟机环境,一主两从)

目录 一、 以Node1节点为例创建虚拟机二、 环境初始化三、集群所需组件安装1. docker(18.06.3)2. 安装Kubernetes组件 四、安装Kubernetes集群1. 准备集群镜像2. 集群初始化3. 安装网络插件 五、环境测试(服务部署) 集群规模:一主二从(一个ma…

云计算实验1——基于VirtualBox的Ubuntu安装和配置

实验步骤 1、VirtualBox的安装 本实验使用VirtualBox-7.0.10 进行演示。对于安装包,大家可以前往 VirtualBox官网下载页面(https :/ / www. virtualbox.org/wiki/Downloads)下载其7.0版本安装包进行安装,或者直接使用QQ群的安装包VirtualBox-7.0.10-15…

数字英文验证码识别 API 对接说明

本文将介绍一种 数字英文验证码识别 API 对接说明,它是基于深度学习技术,可用于识别变长英文数字验证码。输入验证码图像的内容,输出验证码结果。 接下来介绍下 数字英文验证码识别 API 的对接说明。 申请流程 要使用 API,需要…

腾讯地图SDK 手势失效或冲突的解决办法

前言 由于高德地图sdk开始涨价割韭菜了,因此,我司在降本增效的大背景下,需要把高德地图换成腾讯地图。 在更换sdk过程中,踩了一些关于地图手势事件的坑,这里记录下,希望能给遇到同样问题的大佬们一个思路。…

21、基于Firefly-rk3399字符设备驱动寄存器控制LED

文章目录 一、电路分析引脚配置功能(R/W register) 二、RK3399数据手册分析:1、GPIO(General-purpose input/output)介绍:2、CRU(Clock & Reset Unit)介绍查找GPIO相关内容: 3、PMU(Power Management Uni)4、GRF(General Regi…

git 报错 SSL certificate problem: certificate has expired

git小乌龟 报错 SSL certificate problem: certificate has expired 场景复现: 原因: 这个错误表明你在使用Git时尝试通过HTTPS进行通信,但是SSL证书已经过期。这通常发生在使用自签名证书或证书有效期已到期的情况下。 解决方法: 1.如果是…

WTN6 E 系列语音芯片 单线时序及示例代码

1. 概述: WTN6 系列为多功能,低功耗,高性能的 CMOS 语音芯片。现有 WTN6020E、WTN6040E、 WTN6080E、WTN6170E 四种芯片(语音长度分别为 20s、40s、80s、170s),已投入市场。 音频采样率目前最高可达 32kHz&#xff0…

streamlit 实现 flink SQL运行界面

实现效果 streamlit flink-playground.py 文件如下: import streamlit as st import io import contextlib import sys import os import uuid import subprocess from jinja2 import Templatest.set_page_config(layout"wide")# 设置页面标题 st.title…

SL3160 dcdc150V降压5.1V/1A 车载GPS定位器供电芯片

一、主要特性 宽输入电压范围:SL3160支持10~150V的宽输入电压范围,使其能够适应各种电源电压波动,确保稳定输出。 高效降压转换:该芯片采用先进的电源管理技术,转换效率高达90%以上,降低了散热压力和整体…

点云标注工具开发记录(五)之点云文件加载、视角转换

在Open3D中,通过read方法,我们可以读取不同格式的点云数据,那么,在不使用Open3D的相关接口时,我们就需要自己重写文件读入、加载、渲染展示方法,效果如下: 点云文件读入 首先,我们要…

vue开发的一个小插件vue.js devtools

可打开谷歌商城的情况下,不可打开的可以到极简插件里面去下载 极简插件官网_Chrome插件下载_Chrome浏览器应用商店 搜索vue即可

Flutter仿京东商城APP实战 用户中心基础布局

用户中心界面 pages/tabs/user/user.dart import package:flutter/material.dart; import package:jdshop/utils/zdp_screen.dart; import package:provider/provider.dart;import ../../../store/counter_store.dart;class UserPage extends StatefulWidget {const UserPage…

Maven入门到实践:从安装到项目构建与IDEA集成

目录 1. Maven的概念 1.1 什么是Maven 1.2 什么是依赖管理 1.3 什么是项目构建 1.4 Maven的应用场景 1.5 为什么使用Maven 1.6 Maven模型 2.初识Maven 2.1 Maven安装 2.1.1 安装准备 2.1.2 Maven安装目录分析 2.1.3 Maven的环境变量 2.2 Maven的第一个项目 2.2.1…

古埃及象形文字在线字典

我在个人网站“小孔的埃及学站点”上推出了在线的象形文字字典,总共收罗了将近700条的象形文字(词)。在线字典的使用方法很简单,在网站各大版块首页的右上方会有如下图所示的查询入口。 点击文本框,输入中文或英文关键…

公交IC卡收单管理系统 assets 信息泄露

0x01 产品描述: 公交IC卡系统是公交一卡通系统核心建设部分,是高时尚、高科技的管理系统,大大提升了公交行业的服务,能让公交企业信息化和电子化打下一个良好的硬件基础和软件基0x02 漏洞描述: 公交IC卡系统在/assets/…