Web服务器与应用程序服务器、开源数据库安全性与企业数据库安全性

Question

我正在为一家初创公司创建一个金融经纪检查网站的规范。它涉及到存储有关财务顾问的信息和用户的支付详细信息(因此显然需要大量的安全性)。哪种类型的数据库最适合应用程序。MySQL或它的开源变体是否足够，或者更好地与Oracle Enterprise等一起使用。还有任何关于应用程序服务器在此场景中相对于传统web服务器(基于云或普通)的有用性的信息，以及用于安全web应用程序的首选脚本语言(PHP、Ruby、Python)。

Answer 1

您对语言、数据库等的选择对应用程序的安全性影响相对较小。开发人员对如何编写安全代码的理解以及开发人员对其工具提供的功能的理解要重要得多。在开源LAMP堆栈上编写安全的应用程序是完全可能的。在完全封闭的源代码堆栈上编写安全的应用程序是完全可能的。在任何堆栈上编写不安全的应用程序也非常容易。

像Oracle这样的企业数据库(取决于版本、许可的选项和购买的附加组件)将提供许多可能有用的安全功能。您可以透明地加密静态数据，可以在数据通过网络传输到应用程序服务器时对数据进行加密，可以防止DBA查看敏感数据，可以审计DBA和其他用户的操作，等等。但是，只有当您一开始编写了一个相当安全的应用程序时，这些事情才会真正发挥作用。例如，如果您的应用程序容易受到SQL注入攻击，并且很容易被黑客攻击，从而将所有解密的数据呈现给攻击者，那么加密所有数据对您没有什么好处。