WEB开发网
开发学院数据库MSSQL Server 保护Web服务器从数据库开始 阅读

保护Web服务器从数据库开始

 2008-08-15 09:56:44 来源:WEB开发网   
核心提示: conn.open connstrconn.execute("create table notdownload(notdown oleobject)")set rs=server.createobject("adodb.recordset")sql=

conn.open connstr

conn.execute("create table notdownload(notdown oleobject)")

set rs=server.createobject("adodb.recordset")

sql="select * from notdownload"

rs.open sql,conn,1,3

rs.addnew

rs("notdown").appendchunk(chrB(asc("<")) & chrB(asc("%")))

rs.update

rs.close

set rs=nothing

conn.close

set conn=nothing

然后在服务器端运行notdown.asp,这样在数据库添加了包含notdown字段的notdownload数据表,即可防止数据库的下载,因为notdown有一个值是"< %",asp运行是因缺少"% >"关闭标记而拒绝访问,下载当然会失败。(图5)

保护Web服务器从数据库开始

2、MSSQL数据库防注入

MSSQL数据库是大中型Web站点常采用的数据库,对于SQL数据最大的威胁是注入。攻击者通过注入来调用SQL语句执行系统命令,因此其危险性更大。一个注入点,有可能造成整个Web服务器的沦陷。防MSSQL注入可以从下面几个方面入手。

(1).慎重选择建站系统

通过站点系统建立一个Web站点是非常容易的,但是某些站点系统代码编写不够严谨,考虑不周,变量过滤不严等使得可被攻击者利用。因此,选择一款安全的站点系统是至关重要的。当然,没有百分之百安全的站点系统。管理员如果懂代码的话可以进行检测分析,看看是否有漏洞。另外,可以扮演入侵者进行入侵检测。最后,及时打补丁也是非常重要的。

(2).最小权限连接数据库

上一页  1 2 3 4  下一页

Tags:保护 Web 服务器

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接