早上看了一個貼子，是一個哥們推廣自己一個智能的數據庫備份系統，他總結了數據庫備份過程中所有可能出錯的情況，可以借鑒。如果你做DBA時間不長，對數據庫的備份有些

使用方法和步驟如下：step1檢測是否已經啟用ServiceBroker，檢測方法：SelectDATABASEpRoPERTYEX(數據庫名稱,IsBrok

在當今企業環境中，保證數據安全不是可有可無的工作。頻繁曝光的入侵和欺騙事件、薩班斯•奧克斯利法案、HIPAA法案規定和愛國者法案等都要求我們能夠做

and password = + passWord + ; trace( query: + sql ); rso.open( sql, cn ); if

[Microsoft][ODBC SQL Server Driver][SQL Server]Column users.username is invalid

begin declare @ret varchar(8000) set @ret=: select @ret=@ret+ +username+/+passW

xp_terminate_process 結束一個給定PID進程 [聯合服務器] SQL-Server提供了一個服務器聯合的機制，就是允許一個數據庫服務器上的

declare @o int, @ret int exec sp_oacreate speech.voicetext, @o out exec sp_oame

update users set password = passWord where username = admin-- 因此攻擊者可以通過注冊了一個名叫a

union select @@version-- 因為單引號被過濾器刪除了，攻擊者可以把單引號散布於它的已知的非法字符串裡來躲避檢查。 下面是一些驗證的代碼:

當系統出現故障時，只要存在數據日志那麼就可以利用它來恢復數據解決數據庫故障。作為SQL Server數據庫管理員，了解數據日志文件的作用，以及如何利用它來解決

結構化查詢語言(SQL)是一種用來和數據庫交互的文本語言SQL語言多種多樣，大多的方言版本都共同寬松地遵循SQL-92標准(最新的ANSI標准[譯者注：目前最

我們將以Active Server Pages(ASP)登陸頁面為例子來詳細說明，它訪問一個Sql-Server數據庫並且驗證一個到我們假想的程序的訪問。 這

這裡討論的是process_login.ASP中的創建query string的部分: var sql = select * from users where

如果攻擊者能確定各列的數據類型將會很有用，可以利用類型轉換錯誤信息來達到這一點，看下面的例子： Username: union select sum(use

攻擊者用這個username登陸(明顯都在同一行) Username: ;begin declare @ret varchar(8000) set @ret=

[其他擴展存儲] xp_servicecontrol擴展存儲允許用戶啟動，停止，暫停或者運行服務。 exec master..xp_servicecontro

[SQL-Server 裡的ActiveX自動腳本] SQL-Server提供了一些內置的擴展存儲，允許在SQL-Server內創建ActiveX自動腳本。這

高級Sql注入] 一個應用程序通常過濾單引號，另一方面限制用戶的輸入，比如限制長度。 在這裡，我們將討論一些繞過一些明顯的SQL注入防范的和長度限制的技巧。

即使這樣攻擊依然可能實現：如果攻擊者可以不經過程序而往系統插入數據。比如攻擊者有一個email接口，或者有一個可以控制的錯誤記錄數據庫。最好總是驗證所有的數據