工作区管理员可以创建新用户帐户, 管理现有用户帐户和更改用户口令。用户帐户可以为工作区管理员, 工作区开发者或最终用户。开发权限是使用 Oracle Application Express 用户帐户定义的, 不过 Oracle Application Express 应用程序可以使用外部验证方法来运行。Oracle Application Express 用户帐户可以被锁定, 并且支持口令失效和口令复杂性以及其他规则。

实例管理员可以定义 Application Express 开发者的最大会话长度和最大空闲时间。同样, 开发者可以为各个应用程序定义用于仲裁最终用户访问的最大会话长度和空闲时间。

对于测试和正式版实例, Oracle Application Express 支持只安装运行时版本的功能。这可以将安装的覆盖区和权限降到最低。由于在运行时实例中, 开发者不会在无意中更新任何应用程序源, 这也有助于提高应用程序的一致性。

跨站点脚本编写 (也称为 XSS) 是一种利用动态生成的 Web 页的安全攻击行为。在 XSS 攻击中, Web 应用程序发送一个脚本, 当用户浏览器读取应用程序时将激活该脚本。激活脚本后, 这些脚本可以盗窃数据, 甚至是会话身份证明, 然后将信息返回给攻击者。如果在 Oracle Application Express 应用程序中植入了恶意代码, 则在正常页呈现过程中, 这些代码会呈现到 HTML 区域和应用程序中的其他位置。要了解有关潜在漏洞和可将此类风险最小化的安全编码实践的详细信息, 请参阅联机帮助。

使用 SQL 注入可以将应用程序的输入流入到 SQL 语句中, 从而有效地对 SQL 语句进行变更。一种确保 SQL 语句免受 SQL 注入的非常有效的方法是使用绑定变量。Oracle Application Express 支持在所有 SQL 和 PL/SQL 语句中使用绑定变量。要构建安全应用程序, 必须确保在所有动态 SQL 中, 没有任何最终用户输入可以注入到 SQL 语句。

会话保护状态是一种内置功能, 可防止黑客篡改应用程序内的 URL。URL 篡改反过来会影响程序逻辑, 会话状态内容和隐私信息。启用会话状态保护的过程分为两步。首先启用该功能, 然后设置页和项安全属性。