db_owner 在数据库中有全部权限。
db_accessadmin 可以添加或删除用户 ID。
db_securityadmin 可以管理全部权限、对象所有权、角色和角色成员资格。
db_ddladmin 可以发出 ALL DDL，但不能发出 GRANT、REVOKE 或 DENY 语句。
db_backupoperator 可以发出 DBCC、CHECKPOINT 和 BACKUP 语句。
db_datareader 可以选择数据库内任何用户表中的所有数据。
db_datawriter 可以更改数据库内任何用户表中的所有数据。
db_denydatareader 不能选择数据库内任何用户表中的任何数据。
db_denydatawriter 不能更改数据库内任何用户表中的任何数据。

在这儿把新建的数据库角色的权限配置好，比如需要使用哪个表、视图、存储过程等。然后把Db_owner和db_securityadmin、db_backupoperator取消，不给攻击者BACKUP DATABASE和create TABLE的机会，一但攻击者具有这两个权限，那么你的网站就还处在十分危险的状态。还有注意一下，在创建数据库账号时，千万不能对服务器角色进行选择。

第四步是修改SQL SERVER内置存储过程。SQL SERVER估计是为了安装或者其它方面，它内置了一批危险的存储过程。能读到注册表信息，能写入注册表信息，能读磁盘共享信息等等......各位看到这儿，心里可能会在想，我的网站中有其它的代码，又不像查询分析器那样能查接将结果输出。给你这个权限，又不能怎么样，还是看不到信息。如果各位这样想就大错特错了。提示一下，如果攻击者有create TABLE的权限，那么创建一个临时表，然后将信息insert到表中，然select出来，接着跟数字进行比较，让SQL SERVER报错，那么结果就全出来了......所以我们要报着宁错杀，不放过的态度进行修补。

先来列出危险的内置存储过程：

xp_cmdshell
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite

ActiveX自动脚本：

sp_OAcreate
sp_OADestroy
sp_OAMethod
sp_OAGetProperty
sp_OASetProperty
sp_OAGetErrorInfo
sp_OAStop

以上各项全在我们封杀之列，例如xp_cmdshell屏蔽的方法为：sp_dropextendedproc 'xp_cmdshell'，如果需要的话，再用sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'进行恢复。如果你不知道xp_cmdshell使用的是哪个.dll文件的话，可以使用sp_helpextendedproc xp_cmdshell来查看xp_cmdshell使用的是哪个动态联接库。另外，将xp_cmdshell屏蔽后，我们还需要做的步骤是将xpsql70.dll文件进行改名，以防止获得SA的攻击者将它进行恢复。

我们做到这儿，你的SQL SERVER就基本上安全了。但是信息还是能一样的外泄。毕竟select我们是无法取消的，除非你的网站用的是HTML。SQL INJECTION的防范还需要我们这些程序员来注意，这才是治本之法。我们在高级设置篇再接着对SQL SERVER的安全做下一步的分析。该篇文章如果有什么错漏，请大家多多包涵。谢谢......

另外推荐一下，SQL INJECTION的测试工具NBSI2，这是由联盟中小竹同志开发，对SQL INJECTION的注入有代表性的作用，另外一个就是小弟的NBWEBSHELL了。这些工具都可以到联盟网站进行下载

NB联盟-jadesun(裤衩) QQ:280155
NB网站：www.54nb.com

SQL注入防御方法-程序员篇

作者：NB联盟－小竹

　　SQL注入越来越多的被利用来入侵网站，部分WEB程序员也开始关注这方面的知识，但由于对入侵的方法一知半解，导致在过滤的时候漏掉某些字符，造成安全漏洞；或者是草木皆兵，把一些合法的用户请求都拒之门外，试想一下，当用户想输入个I'm a boy的时候，却给你臭骂一顿，他还会愿意再上你的网站吗？

下面，我从程序方面介绍一下SQL注入的防御方法，首先看这三句最简单SQL语句
1.SQL="select * from Users where UserID=" & Request("ID")
2.SQL="select * from Users where UserID='" & Request("ID") & "'"
3.SQL="select * from Users where UserName like '%" & Request("Name") & "%'"

第一句，参数是数字型，这个很明显。第二句，如果字段UserID是int型，就有些人分不清楚了。其实，区分第数字弄和字符型参数，只要看SQL语句参数两边有没有单引号即可，很明显，第一句没单引号，是数字型；第二第三句有单引号，是字符型。

　　对于数字型变量，传入的参数都会直接附加到SQL语句上执行，而因为参数是数字型，所以用isNumeric判断是很安全的，我曾经试过用\0之类试图断开参数，但结果都是失败。

上一篇:开启终端的最简单方法全攻略

下一篇:Win XP系统任务栏实用技巧总集

SQL安全设置攻略相关文章：

·IE浏览器再现严重安全漏洞微软紧急发补丁程序

·同一篇Word文档设置多个不同的页眉页脚

·BIOS中E文對照表+BIOS的设置及其影响

·2007网络安全黄皮书V1.0.0

·美萍安全卫士v12.3

·温瑞安全集

·防骗安全教育片

·360安全卫士v3.2

·一步步学BIOS设置 WMV

·局域网设置视频教学 rar 献给电脑初学者一个帐号两个人用

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot