十个探测SQL Server 2000漏洞的工具

Ten hacker tricks to exploit SQL Server systems

http://searchsqlserver.techtarget.com/tip/1,289483,sid87_gci1165052_tax301336,00.html?Offer=SQLwnha217

当然包括很多SQL 安全的测试工具：

DShield's Port Report

WebInspect

QualysGuard

NGSSquirrel for SQL Server

SQLPing v 2.5

AppDetective

Metasploit

SQL Injector

Absinthe

看到这篇文章之后，感觉到每个SQL Server200都有可以"挖掘"和"探索"的漏洞(还好现在用SQL Server2005居多)，告诫自己以后每次部署SQL Server2000/2005的时候，都要从这些工具箱中选出几个，试一下。SQL injection无处不在，要时刻保持安全警惕性。

1. 最近看到一个有关程序员招聘的分析，"Writing SecureCode"和应用安全防御模型占了很大的一块比重，甚至和你对编程语言的掌握程度要求一样高。
2.有关Dynamic SQL和存储过程的争论是否也会告一个断落，因为对于任何的数据库来说，使用“DynamicSQL”就会有SQLinjection的可能性。存储过程会是一个不错的，抑或是有效的使用两者?对于运行和维护部门来说，Dynamic SQL就是风险.

ACE Team -Security, Performance & Privacy的WebLog是一个不错的资源