我的团队创建了一个Postgres数据库,我正在努力解决一些安全问题。
快速背景:我们正在从Oracle DB迁移到Postgres DB。在Oracle中,我们使用多个数据库来存储放在一起时所谓的敏感数据(就像在同一位置存储用户名和密码一样)。我们不能使用Postlink的dblink扩展,并且已经给予了一些宽容来测试按模式分离数据的想法。用户访问将通过html / PHP GUI进行,并且所有查询都是预先确定的,因此访问方式有限。
我知道您可以根据用户帐户设置架构权限,这必须写入PHP,以便脚本可以访问db / schema / tables。 (进入安全团队)如果某人“入侵”并获得对代码的PHP部分的访问权限,他们将可以访问数据库的用户名和密码。
所以我的问题是您是否可以不通过用户帐户授予对数据库的访问权限,而是将其授予脚本本身?这样脚本就不需要写入用户名/密码了吗?