Sécuriser sa base SQL par mp

Question

Bonjour à tous,
Comme d'hab encore des questions  : 
C'est bien beau de faire une visionneuse de pièces mécaniques à partir d'une base SQL, mais lors de la diffusion je donne la base au bonhomme et n'importe quel pello peut l'ouvrir, virer mes pièces et mettre les siennes ou autre chose..., merci pour le programme récup gratos. C'est pour cela que je me pose des questions niveau sécurité. Peut on mettre un mot de passe sur la base SQL pour que seulement monprog puisse y acceder ? Si oui, comment faire ? C'est lors de la création de la base ou ça se fait par code ?

Merci d'avance.

Marneus73 · Answer

Personne ne sait comment faire pour mettre un mp sur une base SQL ???

PCPT · Answer

salut,
sauf rares exceptions, toutes les bases sont "SQL"
sql c'est une syntaxe, pas un format

quel est le type/format de ta base?

<hr size="2" width="100%" />
Prenez un instant pour répondre à [sujet-SONDAGE-POP3-POUR-CS_769706.aspx ce sondage] svp <

Marneus73 · Answer

C'est une base que j'ai crée sous VS 2008 avec SQL Server.

PCPT · Answer

sql serveur.... 2000 ?
on va supposer 2005 sinon on est parti pour 3 pages avant de savoir 

première sécu, tu as le nom utilisateur / pass
mais comme généralement un serveur donnant accès à une base donne aussi accès à des fichiers (mauvaise archi, mauvais investissements), sauf domaine les utilisateurs connaissent ces infos.

2ème (et dernière) sécu, c'est la protection de la base.
seulement avec SQL SERVER la protection n'est pas juste un mdp comme sous accès, c'est des droits à manager, pour la base, une table, un champs, etc....
et cette partie se fait avec l'outils d'administration approprié : MSSMSE
il est fourni avec sqlserveur edition dev, mais pas l'édition express.
dans ce cas, c'est par ici : http://logiciel.codes-sources.com/logiciels/Microsoft-SQL-Server-Management-Studio-Express-60.aspx

++

<hr size="2" width="100%" />
Prenez un instant pour répondre à [sujet-SONDAGE-POP3-POUR-CS_769706.aspx ce sondage] svp

gillardg · Answer

Bonjour,

Protection illusoire ,  ce n'est pas Bullet Proof  => system.reflexion(reflector)

a+

PCPT · Answer

[../auteur/GILLARDG/1360034.aspx gillardg]

 -> content que tu aies lu "system.reflexion(reflector)" mais ce n'est pas une raison pour le coller à toutes les sauces 

la configuration des droits d'une base de données peut être assez pointues au point de nécessité un corps de métier à lui tout seul : administrateur de base de données

aucun rapport avec du reverse engine ou autre méthodes plus ou moins orthodoxes, ces configurations ne sont "logiquement" pas de l'ordre du travail du développeur, même s'il se doit de savoir le B-A-BA

ici ce n'est donc pas un :
si droit
  action 
sinon
  message d'avertissement
dans l'appli

c'est :
connexion avec "droits inconnus"
try
action
ex => y'a rien à faire, le refus vient de la base, pas du code :)
<hr size="2" width="100%" />Prenez un instant pour répondre à [sujet-SONDAGE-POP3-POUR-CS_769706.aspx ce sondage] svp

gillardg · Answer

Bonjour,

PCPT , à mon humble avis ,
la chaîne de connexion se trouve bien quelque part dans la source !
d'où possibilité de trouver Login ET Password 

a+

PCPT · Answer

la chaîne de connexion est une choses, les droits une autre

SQLServer, Oracle, et d'autres, offrent contrairement à Access, MySql, et d'autres, une gestion précise des droits au niveau de la base elle-même, ainsi que sur le contenu d'à peu près tout...

tu ne vas pas avoir une erreur de connexion avec un user inconnu, tu vas avoir des accès moindres (ou inexistants, quand même)

- à quoi bon réussir à se connecter à une base si tu ne peux pas lire les tables?
- ou faire un select * from une table qui ne te renvoie que 3 champs sur 500 parce que tu n'as pas les droits pour "voir" les 497 autres?
- ou avoir le droit de lire mais pas d'écrire?
- ou d'écrire mais que entre 19h et 19h15 ?

voici une petite partie de ce qu'offre l'administration de la base, on est loin du "login invalide" non?.....

si connexion ayant "réussi", qu'est-ce que le system.reflexion(reflector) propose alors?
<hr size="2" width="100%" />Prenez un instant pour répondre à [sujet-SONDAGE-POP3-POUR-CS_769706.aspx ce sondage] svp

gillardg · Answer

Bonjour,

rien du tout mais alors c'est  une base statique 
ou les users ne pourront pas  changer grand chose  

a+

Marneus73 · Answer

oulala, je ne vous suit pas trop, moi dans mon appli, je veux faire une base statique, impossible à changer par les user. Quelle méthode dois-je mettre en place ??? et comment.
-----------------------------------------------------------------------------------
la chaîne de connexion est une choses, les droits une autre

SQLServer,
Oracle, et d'autres, offrent contrairement à Access, MySql, et
d'autres, une gestion précise des droits au niveau de la base
elle-même, ainsi que sur le contenu d'à peu près tout...

tu ne vas pas avoir une erreur de connexion avec un user inconnu, tu vas avoir des accès moindres (ou inexistants, quand même)

- à quoi bon réussir à se connecter à une base si tu ne peux pas lire les tables?
- ou faire un select * from une table qui ne te renvoie que 3 champs sur 500 parce que tu n'as pas les droits pour "voir" les 497 autres?
- ou avoir le droit de lire mais pas d'écrire?
- ou d'écrire mais que entre 19h et 19h15 ?
---------------------------------------------------------------------------------------------------
Tout cela m'intéresse fortement, mais comment le mettre en place ???

PCPT · Answer

cf mon, 2e message :



et cette partie se fait avec l'outil d'administration approprié : MSSMSE

Sécuriser sa base SQL par mp

11 réponses

Votre réponse

Discussions similaires