保护Web服务器从数据库开始

核心提示： conn.open connstrconn.execute("create table notdownload(notdown oleobject)")set rs=server.createobject("adodb.recordset")sql=

conn.open connstr

conn.execute("create table notdownload(notdown oleobject)")

set rs=server.createobject("adodb.recordset")

sql="select * from notdownload"

rs.open sql,conn,1,3

rs.addnew

rs("notdown").appendchunk(chrB(asc("<")) & chrB(asc("%")))

rs.update

rs.close

set rs=nothing

conn.close

set conn=nothing

然后在服务器端运行notdown.asp，这样在数据库添加了包含notdown字段的notdownload数据表，即可防止数据库的下载，因为notdown有一个值是"< %",asp运行是因缺少"% >"关闭标记而拒绝访问，下载当然会失败。(图5)

2、MSSQL数据库防注入

MSSQL数据库是大中型Web站点常采用的数据库，对于SQL数据最大的威胁是注入。攻击者通过注入来调用SQL语句执行系统命令，因此其危险性更大。一个注入点，有可能造成整个Web服务器的沦陷。防MSSQL注入可以从下面几个方面入手。

(1).慎重选择建站系统

通过站点系统建立一个Web站点是非常容易的，但是某些站点系统代码编写不够严谨，考虑不周，变量过滤不严等使得可被攻击者利用。因此，选择一款安全的站点系统是至关重要的。当然，没有百分之百安全的站点系统。管理员如果懂代码的话可以进行检测分析，看看是否有漏洞。另外，可以扮演入侵者进行入侵检测。最后，及时打补丁也是非常重要的。

(2).最小权限连接数据库