辉克's Blog

创造机会的人是勇者;等待机会的人是愚者

防止3b3.org c.js数据库注入

防止3b3.org c.js数据库注入

1.不要使用sa用户连接数据库

2、新建一个public权限数据库用户,并用这个用户访问数据库

3、去掉角色public对sysobjects与syscolumns对象的select访问权限

4、通过以下代码检测(失败表示权限正确):

DECLARE @T varchar(255),
@C varchar(255)
DECLARE Table_Cursor CURSOR FOR
Select a.name,b.name from sysobjects a,syscolumns b
where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0)
BEGIN print @c
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor

发表评论

电子邮件地址不会被公开。 必填项已用*标注