sql注入防止办法
2006-12-07 09:33
555 查看
一般的黑客攻击SQL Server时,首先采用的方法是执行master扩展存储过程xp_cmdshell命令来破坏数据库,为了数据库安全起见,最好禁止使用xp_cmdShell
xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串,
并以文本行方式返回任何输出,是一个功能非常强大的扩展存贮过程。
一般情况下,xp_cmdshell对管理员来说也是不必要的,xp_cmdshell的消除不会对Server造成
任何影响。
可以将xp_cmdshell消除:
Use Master
Exec sp_dropextendedproc N'xp_cmdshell'
Go
如果需要的话,可以把xp_cmdshell恢复回来:
Use Master
Exec sp_addextendedproc N'xp_cmdshell', N'xplog70.dll'
Go
如果你数据库理有D99_Tmp或者D99_cmd这两个表,那么你放心了.
说明这个是下载人家的软件的恶意攻击SQL SERVER的菜鸟了.
用了su.exe(是一个提升权限黑客软件),D99_tmp(subdirectory,depth,file三个字段,里面的数据都是网站文件和目录).
参考文章http://anqn.com/article/e/2006-07-10/a0980419.shtml
可以根据文章自己攻击一次你的网站.
xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串,
并以文本行方式返回任何输出,是一个功能非常强大的扩展存贮过程。
一般情况下,xp_cmdshell对管理员来说也是不必要的,xp_cmdshell的消除不会对Server造成
任何影响。
可以将xp_cmdshell消除:
Use Master
Exec sp_dropextendedproc N'xp_cmdshell'
Go
如果需要的话,可以把xp_cmdshell恢复回来:
Use Master
Exec sp_addextendedproc N'xp_cmdshell', N'xplog70.dll'
Go
如果你数据库理有D99_Tmp或者D99_cmd这两个表,那么你放心了.
说明这个是下载人家的软件的恶意攻击SQL SERVER的菜鸟了.
用了su.exe(是一个提升权限黑客软件),D99_tmp(subdirectory,depth,file三个字段,里面的数据都是网站文件和目录).
参考文章http://anqn.com/article/e/2006-07-10/a0980419.shtml
可以根据文章自己攻击一次你的网站.
相关文章推荐
- sql注入防止办法
- 【代码实现】防止SQL注入解决办法
- PHP + Mysql 登录功能防止SQL注入的一个办法
- 一个极其简单的防止SQL注入的办法(只针对部分有效)转自csdn论坛
- 防止SQL注入解决办法
- sql注入防止办法
- PHP + Mysql 登录功能防止SQL注入的一个办法
- 转:php防止sql注入的一点心得
- 关于SQL注入问题-,于解决办法
- ASP.NET2.0 防止SQL注入的解决方案
- mybatis防止sql注入 http://www.verydemo.com/demo_c89_i32778.html
- mybatis #和$区别、如何防止SQL注入
- 防止SQL注入,过滤非法字符的方法
- 防止 jsp被sql注入的五种方法
- 防止用户直接访问有关jsp页面的几种办法
- 两段简单的JS代码防止SQL注入
- struts过滤器,防止页面sql注入
- Hibernate防止sql注入对参数赋值传参数的例子
- 参数化命令(防止SQL注入)
- 在XP下防止别人改你IP的办法