2-tier o 3-tier:哪个更安全？

Question

我正在读一篇关于建筑的文章，发现了下面的表达式：

例如，在两层Windows Forms或ASP.NET应用程序中，运行接口代码的计算机必须具有访问数据库服务器的凭据。切换到3层模型，在该模型中，数据访问代码在运行的应用程序服务器计算机上运行，这意味着代码不再需要这些凭据，从而使系统潜在地更加安全。(罗克福德·洛特卡)

我不明白为什么我要使用三层应用程序。

Answer 1

在三层应用程序中，中间层(应用服务器)控制对数据的所有访问，因此可以(用代码)指定非常精细和具体的访问控制规则，而不仅仅是数据库本身提供的访问控制规则。无论最终用户想要做什么，都必须通过您的代码(在两层应用程序中，最终用户“直接”与数据库对话)。

OTOH，如果您停止使用数据库访问保护，数据的安全现在完全取决于您的应用程序，编码错误可能会造成巨大的安全漏洞。