Developer Network
Developer Network
Developer
:CreateViewProfileText:
登录
MSDN 订阅
获取工具
下载
Visual Studio
SDK
试用软件
免费下载
Office 资源
计划
订阅
Administrators
学生
Microsoft Imagine
Microsoft 学生合作伙伴
ISV
新手
Events(事件)
社区
Magazine
论坛
博客
第 9 频道
文档
API 和参考
开发人员中心
示例
停用的内容
非常抱歉。你请求的内容已被删除。将在 1 秒内自动重定向。
提出问题
快速访问
论坛主页
浏览论坛用户
FAQ
搜索相关主题
Remove From My Forums
积极答复者
防止sql注入,sql2005用户名的权限怎么设置比较安全?
企业应用平台 Enterprise Application Platform
>
SQL Server
问题
0
登录进行投票
防止sql注入,sql2005用户名的权限怎么设置比较安全?
macle
2010年1月25日 6:50
回复
|
引用
答案
0
登录进行投票
禁止sql用户改写数据,甚至连读数据都可以禁止。只允许执行存储过程,可以防止普通的sql注入攻击程序。
不过要防止黑客的攻击,还是得搞好前端程序的安全性。
想不想时已是想,不如不想都不想。
已标记为答案
中國風
MVP, Moderator
2010年1月27日 8:39
2010年1月26日 1:17
回复
|
引用
版主
0
登录进行投票
权限还是比较重要, 比如, 如果敏感信息根本就没有授权给注入的用户查询, 那么他注入了也无法查
所以, 最小化用户权限是最基本的, 这个当然是根据你的业务来定, 不要做什么都用同一个帐号
有条件的还可以考虑数据的隔离, 最重要的数据放在外面的应用无法直接访问的地方
已标记为答案
中國風
MVP, Moderator
2010年1月27日 8:40
2010年1月26日 4:06
回复
|
引用
0
登录进行投票
除了在數據庫用戶權限控制,在應用方面
http://msdn.microsoft.com/en-us/magazine/cc163523.aspx
參照
http://topic.csdn.net/u/20080504/20/763ed034-317a-4695-a476-26317b905012.html
ROY WU(
吳熹
)
已标记为答案
中國風
MVP, Moderator
2010年1月27日 8:39
2010年1月26日 8:50
回复
|
引用
版主
全部回复
0
登录进行投票
Depends on what user needs to do, any details?
2010年1月25日 15:42
回复
|
引用
0
登录进行投票
禁止sql用户改写数据,甚至连读数据都可以禁止。只允许执行存储过程,可以防止普通的sql注入攻击程序。
不过要防止黑客的攻击,还是得搞好前端程序的安全性。
想不想时已是想,不如不想都不想。
已标记为答案
中國風
MVP, Moderator
2010年1月27日 8:39
2010年1月26日 1:17
回复
|
引用
版主
0
登录进行投票
怡红公子说得比较全面了,我再补充一点:
注入攻击很大程度上是基于对于数据库内部状况的了解进行的,比如能够猜到有某些表,某些列,然后设计相应的注入代码。所以还有一个办法就是将数据库表、列在最后部署时翻译为随机字符串,只使用名字有意义的存储过程,使得直接操作表成为不可能,会安全一些。还有就是对于重要的数据段加密,不要直接存明文。
2010年1月26日 2:20
回复
|
引用
0
登录进行投票
权限还是比较重要, 比如, 如果敏感信息根本就没有授权给注入的用户查询, 那么他注入了也无法查
所以, 最小化用户权限是最基本的, 这个当然是根据你的业务来定, 不要做什么都用同一个帐号
有条件的还可以考虑数据的隔离, 最重要的数据放在外面的应用无法直接访问的地方
已标记为答案
中國風
MVP, Moderator
2010年1月27日 8:40
2010年1月26日 4:06
回复
|
引用
0
登录进行投票
除了在數據庫用戶權限控制,在應用方面
http://msdn.microsoft.com/en-us/magazine/cc163523.aspx
參照
http://topic.csdn.net/u/20080504/20/763ed034-317a-4695-a476-26317b905012.html
ROY WU(
吳熹
)
已标记为答案
中國風
MVP, Moderator
2010年1月27日 8:39
2010年1月26日 8:50
回复
|
引用
版主
