응용 프로그램 로그인 과정에서 여러 쿼리가 실행되어 로그인 유효성이 검사됩니다. 그들을 평가할 때 나는 질의 중 하나가 NOLOCK 힌트없이 실행된다는 것을 알아 차렸다.쿼리에 대한 SQL Server NOLOCK이 승인을 위해 실행됩니다.
데이터가 거의 변경되지 않기 때문에 더티 읽기의 특별한 위험은없는 것처럼 보입니다.
실패한 로그인 시도를 반복해서 시도한 시도 된 DOS 유형 공격에서 생각하면 NOLOCK이 부족하여 실패 임계 값이 낮아 졌음을 제안합니다.
도스 공격으로 인한 결과는 거의 없다고 생각합니다. (웹 서버가 먼저 나올 것이라고 생각합니다.)하지만 NOLOCK을 추가하면 불가능할 것 같지 않습니다.
그래서 나는 과도하거나 사소한 것입니까?
나는 그러한 것들이 제 자리에 있어야하지만 제 경우에는 제 통제를 넘어서는 것에 동의합니다. 소프트웨어 자체의 보안 만 통제 할 수 있습니다. – Flory