ストアドプロシージャはセキュリティの要
多くの場合、データベースのデータを操作する手段として SQL という問い合わせ言語を用いますが、一歩進んだ手段としてストアドプロシージャ (Stored Procedure: データの操作手順を予め定義して DBMS に保存しておく仕組み) というものがあります。
ストアドプロシージャを使用するということは、予め定義された操作しか行えないということですから、データを操作する際にストアドプロシージャの使用を強制することで不正な操作からデータを保護することができます。
ストアドプロシージャはデータの更新や挿入や削除といった操作だけに使われがちですが、データの参照に積極的に用いることで情報漏洩への耐性を高めることができます。
ストアドプロシージャの一種にビュー (View: 生のテーブルから必要な列だけを予め選択しておく仮想的なテーブル) がありますが、ビューを活用することで、見る必要のないデータは見えない、という運用が可能となります。
また、必要な全ての操作をストアドプロシージャ経由に限定してしまえば、クライアントからデータベースの論理設計が見えなくなります。
データベースの論理設計を隠すことは悪意の操作に対する効果的な防衛策だと云えます。
「必要のない操作は実現不可能」な環境作りが情報漏洩対策の要だと思います。