C#-[祈福]天佑中华 众志成城 抗震救灾 重建家园

你的苦难就是我们的苦难,你的希望就是我们的希望。当灾难来临时,我们与你在一起,一起为逝者默念安息、一起为伤者祈祷平安。而更多的关怀和力量,正悄悄在汇集:天佑中华,众志成城;抗震救灾、重建家园......
  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

如何更好的防止SQL注入式攻击?

Posted on 2008-05-21 12:19  尹合磊  阅读(457)  评论(3编辑  收藏  举报
一般的黑客攻击SQL   Server时,首先采用的方法是执行master扩展存储过程xp_cmdshell命令来破坏数据库,为了数据库安全起见,最好禁止使用xp_cmdShell  
   
xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串,并以文本行方式返回任何输出,是一个功能非常强大的扩展存贮过程。    
一般情况下,xp_cmdshell对管理员来说也是不必要的,xp_cmdshell的消除不会对Server造成任何影响。    
        可以将xp_cmdshell消除:    
        Use   Master    
        Exec   sp_dropextendedproc   N’xp_cmdshell’    
        Go    
         
        如果需要的话,可以把xp_cmdshell恢复回来:    
        Use   Master    
        Exec   sp_addextendedproc   N’xp_cmdshell’,   N’xplog70.dll’    
        Go    
     
如果你数据库理有D99_Tmp或者D99_cmd这两个表,那么你放心了.  
   
说明这个是下载人家的软件的恶意攻击SQL   SERVER的菜鸟了.  
   
用了su.exe(是一个提升权限黑客软件),D99_tmp(subdirectory,depth,file三个字段,里面的数据都是网站文件和目录).