动态网站制作指南
[  QQ表情  ]
[ 投票调查 ]
[ 企业邮箱 ]
[ 网站空间 ]
网站首页 | 网站学院 | 源码下载 | 软件下载 | 字体下载 | 图片素材 | 电脑书籍 | 网页模版 | 网站欣赏 | 小游戏 | 博客联播
网络编程 | 站长之家 | 网页制作 | 图形图象 | 操作系统 | 冲浪宝典 | 软件教学 | 网络办公 | 邮件系统 | 网络安全 | 认证考试 | 系统进程
ASP源码 | .Net源码 | PHP源码 | JSP源码 | JAVA源码 | CGI源码 | VB源码 | C++源码 | Delphi源码 | PB源码 | VF源码 | 汇编 | 服务器
电脑书籍下载:程序设计书籍 | 数据库教程书籍 | 平面与多媒体书籍 | 网络通讯书籍 | 系统管理书籍 | 网络安全书籍 | 认证考试书籍
Firefox | IE | Maxthon | 迅雷 | 电驴 | BitComet | FlashGet | QQ | QQ空间 | Vista | 输入法 | Ghost | Word | Excel | wps | Powerpoint
asp | .net | php | jsp | Sql | c# | Ajax | xml | Dreamweaver | FrontPages | Javascript | css | photoshop | fireworks | Flash | Cad | Discuz!
当前位置 > 网站建设学院 > 网络编程 > 数据库学院 > 数据库技巧
Tag:注入,存储过程,分页,安全,优化,xmlhttp,fso,jmail,application,session,防盗链,stream,无组件,组件,md5,乱码,缓存,加密,验证码,算法,cookies,ubb,正则表达式,水印,索引,日志,压缩,base64,url重写,上传,控件,Web.config,JDBC,函数,内存,PDF,迁移,结构,破解,编译,配置,进程
网络编程:ASP教程,ASP.NET教程,PHP教程,JSP教程,C#教程,数据库,XML教程,Ajax,Java,Perl,Shell,VB教程,Delphi,C/C++教程,软件工程,J2EE/J2ME,移动开发
数据库:数据库教程,数据库技巧,Oracle教程,MySQL教程,Access教程,DB2教程,数据库安全,数据库文摘
文章搜索服务
邮件订阅
输入你的邮件地址,
你将不会错过任何关于:
[ 数据库技巧 ]的信息



本月文章推荐
.sql server 2000 游标用法小例.
.安装时出现一般网络性错误的解决.
.在SQL Server中用XQuery分解XML数.
.microsoft sql server认证方式的.
.在SQL Server 2005数据库中实现自.
.SQL Server 最佳实践分析器使用小.
.如何通过触发器实现数据库的即时.
.如何为SQL Server表数据生成inse.
.一个有关DISTINCT的问题解答.
.用SQL Server为Web浏览器提供图像.
.最新分页存储过程(增加了选择字.
.SQL Server 存储过程嵌套示例.
.在各种数据库中如何限制检索行数.
.更改数据库表中现有行内的任何或.
.无法在SQL 2005系统数据库中执行.
.SQL 视图效率和连接超时设置.
.sql 经典语句.
.32位到64位的sql server移植.
.SQL Server 2008与Microsoft数据.
.如何在把超过固定长度的文字以"….

修改SQL SERVER内置存储过程

文章类别:数据库技巧 | 发表日期:2005-11-24 |

  SQLSERVER估计是为了安装或者其它方面,它内置了一批危险的存储过程。能读到注册表信息,能写入注册表信息,能读磁盘共享信息等等……各位看到这儿,心里可能会在想,我的网站中有其它的代码,又不像查询分析器那样能直接将结果输出。给你这个权限,也不能怎么样,还是看不到信息。如果各位这样想就大错特错了。提示一下,如果攻击者有CREATE TABLE的权限,那么创建一个临时表,然后将信息INSERT到表中,然SELECT出来,接着跟数字进行比较,让SQL SERVER报错,那么结果就全出来了……所以我们要报着宁错杀,不放过的态度进行修补。
  
  先来列出危险的内置存储过程:
  
  xp_cmdshell
  
  xp_regaddmultistring
  
  xp_regdeletekey
  
  xp_regdeletevalue
  
  xp_regenumkeys
  
  xp_regenumvalues
  
  xp_regread
  
  xp_regremovemultistring
  
  xp_regwrite
  
  ActiveX自动脚本:
  
  sp_OACreate
  
  sp_OADestroy
  
  sp_OAMethod
  
  sp_OAGetProperty
  
  sp_OASetProperty
  
  sp_OAGetErrorInfo
  
  sp_OAStop
  
  以上各项全在我们封杀之列,例如xp_cmdshell屏蔽的方法为:
  
  sp_dropextendedproc 'xp_cmdshell'
  
  如果需要的话,再用
  
  sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
  
  进行恢复。如果你不知道xp_cmdshell使用的是哪个.dll文件的话,可以使用
  
  sp_helpextendedproc xp_cmdshel
  
  来查看xp_cmdshell使用的是哪个动态联接库。另外,将xp_cmdshell屏蔽后,我们还需要做的步骤是将xpsql70.dll文件进行改名,以防止获得SA的攻击者将它进行恢复。

上一篇:Sql Server下数据库链接的使用方法 人气:10503
下一篇:SQL Server SA权限总结经典技术 人气:7739
点击此处浏览全部SQL SERVER的内容 Dreamweaver插件下载 常用网页广告代码全集
  最新网站源码 最新软件下载
2008-5-22 中华免费家教网整站程序 v1.81
2008-5-22 情感小筑文章管理程序 v2.41
2008-5-22 乐学LBBS无限级目录图片直读系统
2008-5-22 MM8图片小偷 v1.3
2008-5-22 千博企业网站管理系统静态HTML专
2008-5-22 SmartAD Pro(网站广告管理系统)
2008-5-22 经典挖美女源码
2008-5-22 天空网络电影系统(SKYUC PHP) v2
2008-5-22 MooPHP通用自定义表单系统 v1.2
 2008-5-7 Windows XP SP3 官方英文版
2008-5-7 Windows XP SP3 官方香港中文版
2008-5-7 Windows XP SP3 官方繁体中文版
2008-5-7 Windows XP SP3 官方简体中文版
2008-4-30 Multiple Unzip Wizard 1.02
2008-4-30 Multiple Unrar Wizard 1.0.0
2008-4-30 WinZip Install/Try/Uninstall a
2008-4-30 ZIP压缩文件修复器WzipFix 2.0
2008-4-30 Pentazip 6.01 Build 189 For Wi
  发表评论
姓 名: 验证码: [ 全部贴吧 ] [ 浏览评论 ]
内 容:
[ 汉字翻译拼音 ] [ 广告代码 ] [ 符号对照表 ] [ 进制转换 ] [ 经典小工具 ] [ 个税计算 ] [ 汉字简繁转换 ] [ 普通单位换算 ] [ 公制单位换算 ]
[ 生辰老黄历 ] [ 国内电话区号 ] [ 国家代码与域名缩写 ] [ 文字加密解密 ] [ 健康查询 ] [ 万年历 ] [ 手机号码查询 ] [ ip搜索 ] [ Google PR查询 ]
业务联系 | 广告刊登 | 频道合作 | 投稿荐稿 | 联系方式 | 加入收藏 | RSS订阅
Copyright © 2000-2008 www.knowsky.com All rights reserved | 网络实名:动态网站制作指南 | 沪ICP备05001343号