删除有安全隐患的扩展: exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库] exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库] exec sp_dropextendedproc 'xp_enumgroups' exec sp_dropextendedproc 'xp_fixeddrives' exec sp_dropextendedproc 'xp_loginconfig' exec sp_dropextendedproc 'xp_regaddmultistring' exec sp_dropextendedproc 'xp_regdeletekey' exec sp_dropextendedproc 'xp_regdeletevalue' exec sp_dropextendedproc 'xp_regread' exec sp_dropextendedproc 'xp_regremovemultistring' exec sp_dropextendedproc 'xp_regwrite' exec sp_dropextendedproc 'xp_enumerrorlogs' exec sp_dropextendedproc 'xp_getfiledetails' exec sp_dropextendedproc 'xp_regenumvalues' 恢复扩展 exec sp_addextendedproc 'xp_cmdshell', 'xplog70.dll' exec sp_addextendedproc 'xp_dirtree', 'xpstar.dll' exec sp_addextendedproc 'xp_enumgroups', 'xplog70.dll' exec sp_addextendedproc 'xp_fixeddrives', 'xpstar.dll' exec sp_addextendedproc 'xp_loginconfig', 'xplog70.dll' exec sp_addextendedproc 'xp_regaddmultistring', 'xpstar.dll' exec sp_addextendedproc 'xp_regdeletekey', 'xpstar.dll' exec sp_addextendedproc 'xp_regdeletevalue', 'xpstar.dll' exec sp_addextendedproc 'xp_regread', 'xpstar.dll' exec sp_addextendedproc 'xp_regremovemultistring', 'xpstar.dll' exec sp_addextendedproc 'xp_regwrite', 'xpstar.dll' exec sp_addextendedproc 'xp_enumerrorlogs', 'xpstar.dll' exec sp_addextendedproc 'xp_getfiledetails', 'xpstar.dll' exec sp_addextendedproc 'xp_regenumvalues', 'xpstar.dll' 全部复制到"SQL查询分析器" 点击菜单上的--"查询"--"执行",就会将有安全问题的SQL过程删除(以上是7i24的正版用户的技术支持) 更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限. 数据库不要放在默认的位置. SQL不要安装在PROGRAM FILE目录下面. 以 上各项全在我们封杀之列,例如xp_cmdshell屏蔽的方法为:sp_dropextendedproc 'xp_cmdshell',如果需要的话,再用sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'进行恢复。如果你不知道xp_cmdshell使用的是哪个.dll文件的话,可以使用 sp_helpextendedproc xp_cmdshell来查看xp_cmdshell使用的是哪个动态联接库。另外,将xp_cmdshell屏蔽后,我们还需要做的步骤是将 xpsql70.dll文件进行改名,以防止获得SA的攻击者将它进行恢复。 我们做到这儿,你的SQL SERVER就基本上安全了。但是信息还是能一样的外泄。毕竟Select我们是无法取消的,除非你的网站用的是HTML。SQL INJECTION的防范还需要我们这些程序员来注意,这才是治本之法。我们在高级设置篇再接着对SQL SERVER的安全做下一步的分析。(责任编辑:好模板) |