程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 數據庫知識 >> SqlServer數據庫 >> 關於SqlServer >> SQL Server 注入大全及防御(3)

SQL Server 注入大全及防御(3)

編輯:關於SqlServer


  四、其他獲取系統信息

  歷遍目錄

  exec master.dbo.xp_dirtree 'c:\'

  

  獲取子目錄

  exec master.dbo.xp_subdirs 'c:\'

  

  列舉可用的系統分區

  exec master.dbo.xp_availablemedia

  

  判斷目錄或文件是否存在

  exec master..xp_fileexist 'c:\boot.ini'

  

  五、防御SQL注入有妙法

  1.對表結構進行修改。將管理員的賬號字段的數據類型進行修改,文本型改成最大字段255(其實也夠了,如果還想做得再大點,可以選擇備注型),密碼的字段也進行相同設置。

  2.對表進行修改。設置管理員權限的賬號放在ID1,並輸入大量中文字符,最好大於100個字。

  3.把真正的管理員密碼放在ID2後的任何一個位置。

  我們通過上面的三步完成了對數據庫的修改。

  這時是不是修改結束了呢?其實不然,要明白你做的ID1賬號其實也是真正有權限的賬號,現在計算機處理速度那麼快,要是遇上個一定要將它算出來的軟件,這也是不安全的。我想這時大多數人已經想到了辦法,對,只要在管理員登錄的頁面文件中寫入字符限制就行了!就算對方使用這個有上千字符的賬號密碼也會被擋住的,而真正的密碼則可以不受限制。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved