之前写了2篇关于如何防止http://3b3.org/c.js注入的文章,但近日来有读者反映在SQL2005下因为有些步骤无法完成操作而导致预防工作无法产生应有的效果。经过反复研究和实践,终于找到了正确的操作方法。下面和大家分享下:SQL2005防止http://3b3.org/c.js注入(100%成功)。
SQL2000的操作方法:
1、不要使用sa用户连接数据库。
SA帐户拥有所有数据库和数据表的操作权限,在网页中使用SA连接数据库安全隐患非常大。
2、新建一个public权限数据库用户,并用这个用户访问数据库。
为了增加安全系数,建议每个数据库建立独立的只有public权限管理帐户,并用这个用户访问数据库有利于SQL的安全性。
3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限。
4、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”。
SQL2005的操作方法:
1、不要使用sa用户连接数据库。
SA帐户拥有所有数据库和数据表的操作权限,在网页中使用SA连接数据库安全隐患非常大。
2、新建一个public权限数据库用户,并用这个用户访问数据库。
为了增加安全系数,建议每个数据库建立独立的只有public权限管理帐户,并用这个用户访问数据库有利于SQL的安全性。
3、打开数据库---视图--找到--sys.sysobjects--右键“属性”-- 左侧“权限”---右侧下面 在 "SELECT" 后面的“拒绝”后面把 "打对号"。
4、打开数据库---视图--找到--sys.syscolumns--右键“属性”-- 左侧“权限”---右侧下面 在 "SELECT" 后面的“拒绝”后面把 "打对号"。
SQL2005到此为止问题解决。
附件SQL2005操作截图:
http://www.21004.com/upload/sql2005into.rar
转载请注明出处(www.21004.com 杜茂青网站推广)
