2 уровня или 3 уровня: что безопаснее?

Question

Я читаю об архитектуре и нашел следующее выражение:

Например, в двухуровневом приложении Windows Forms или ASP.NET на компьютере, на котором выполняется код интерфейса, должны быть учетные данные для доступа ксервер базы данных.Переключение на трехуровневую модель, в которой код доступа к данным выполняется на компьютере сервера приложений, на котором запущен код, означающий, что интерфейсу больше не нужны эти учетные данные, что делает систему потенциально более безопасной.(Rockford Lhotka)

Не могу понять, почему я должен использовать 3-уровневое приложение.

Answer 1

В трехуровневом приложении средний уровень (сервер приложений) контролирует весь доступ к данным, поэтому можно задавать очень точные и конкретные правила контроля доступа (в коде), гораздо больше, чем предлагает сама база данных. Все, что хочет сделать конечный пользователь, должно пройти через ваш код (в двухуровневом приложении конечный пользователь «напрямую» обращается к базе данных).

OTOH, если вы перестанете использовать защиту доступа к базе данных, защита данных теперь полностью зависит от вашего приложения, а ошибки кодирования могут создать огромные дыры в безопасности.