SQL Server注入大全及防御(3)
http://www.itjxue.com 2015-07-17 01:31 来源:未知 点击次数:
四、其他获取系统信息
历遍目录
exec master.dbo.xp_dirtree 'c:\'
获取子目录
exec master.dbo.xp_subdirs 'c:\'
列举可用的系统分区
exec master.dbo.xp_availablemedia
判断目录或文件是否存在
exec master..xp_fileexist 'c:\boot.ini'
五、防御SQL注入有妙法
1.对表结构进行修改。将管理员的账号字段的数据类型进行修改,文本型改成最大字段255(其实也够了,如果还想做得再大点,可以选择备注型),密码的字段也进行相同设置。
2.对表进行修改。设置管理员权限的账号放在ID1,并输入大量中文字符,最好大于100个字。
3.把真正的管理员密码放在ID2后的任何一个位置。
我们通过上面的三步完成了对数据库的修改。
这时是不是修改结束了呢?其实不然,要明白你做的ID1账号其实也是真正有权限的账号,现在计算机处理速度那么快,要是遇上个一定要将它算出来的软件,这也是不安全的。我想这时大多数人已经想到了办法,对,只要在管理员登录的页面文件中写入字符限制就行了!就算对方使用这个有上千字符的账号密码也会被挡住的,而真正的密码则可以不受限制。