SQL注入

SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。

Sql server日志损坏后的数据恢复

如果一个黑客真的找到了一个对你的数据库执行SQL命令的途径，他可能会造成什么样的损害呢？如果你的应用程序作为一个管理员用户连接到数据库，象Microsoft SQL Server的”sa”用户，损害甚至会很严重。他不仅仅能看表中的数据，他也能增加他自己的新数据或者改变已经存在数据的值。设想一个在线购物站点，所有的商品项目价格标成低于一个美分。

Mssql注入攻击是比较直接和危害比较大的一种攻击方式，那些所谓的黑客们能够利用它直接取得系统权限。今天我们就来看看如何通过系统设置防止这种攻击： 首先要申明的是，并不是通过这个设置就能保证你的服务器的安全，安全是一个整体，然而整体又正是由这些部分构成的！

一般网站都是基于数据库的，特别是ASP、PHP、JSP这样的用数据库来动态显示的网站。很多网站可能多注意的是操作系统的漏洞，但是对数据库和这些脚本的安全总是忽略，也没有太多注意。

SQL injection问题在ASP上可是闹得沸沸扬扬当然还有不少国内外著名的PHP程序“遇难”。至于SQL injection的详情，网上的文章太多了，在此就不作介绍。

MySQL的授权表给数据库的访问提供了灵活的权限控制，但是如果本地用户拥有对库文件的读权限的话，攻击者只需把数据库目录打包拷走，然后拷到自己本机的数据目录下就能访问窃取的数据库。所以MySQL所在的主机的安全性是最首要的问题，如果主机不安全，被攻击者控制，那么MySQL的安全性也无从谈起。其次就是数据目录和数据文件的安全性，也就是权

建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。

http://www.***.com是一个比较大的综合门户网站，ALEXA排名在前100名，好，今天的目标就是他拉，在搞之前首先要采好点，呵呵，也就是要找到注射点，这个是我们今天入侵的基础。在主页上看拉看，全部是静态网页，不存在注射的可能，可能你会说他可能是后台生成htm（开始偶也是这么认为，可是进去之后才知道原来根本不是），再源文件里找拉找也没

数据安全之MySQL安全的二十三条军规

这时是不是修改结束了呢？其实不然，要明白你做的ID1账号其实也是真正有权限的账号，现在计算机处理速度那么快，要是遇上个一定要将它算出来的软件，这也是不安全的。我想这时大多数人已经想到了办法，对，只要在管理员登录的页面文件中写入字符限制就行了！就算对方使用这个有上千字符的账号密码也会被挡住的，而真正的密码则可以不受限制

而跨站点脚本（XSS）就会麻烦的多，安全分析师很难给出看得见的范例来清楚说明该漏洞可能造成的后果。通常安全分析师通过注入像alert('xss')的JAVAScript代码来说明XSS的危害，该代码能够导致应用程序显示带有“xss”字样的弹出窗口。从技术角度来说，这种范例确实证明XSS漏洞的存在性，但是它没有真实地反映XSS漏洞的危害性。为了找到自动给出X

哈希加密是单向加密，也就是说，被加密的字符串是无法得到原字符串的。这种方法使用很有限，一般只使用在密码验证或其它需要验证的地方。在比较时并不是将加密字符串进行解密，而是将输入的字符串也使用同样的方法进行加密，再和数据库中的加密字符串进行比较。这样即使知道了算法并得到了加密字符串，也无法还原最初的字符串。银行卡密码就是采

我们通过上面的三步完成了对数据库的修改。这时是不是修改结束了呢?其实不然，要明白你做的ID1账号其实也是真正有权限的账号，现在计算机处理速度那么快，要是遇上个一定要将它算出来的软件，这也是不安全的。我想这时大多数人已经想到了办法，对，只要在管理员登录的页面文件中写入字符限制就行了!就算对方使用这个有上千字符的账号密码也会被

碰到error 1045(28000) access denied for user 'root'@'localhost' (using password:no)错误时，你需要重新设置密码，具体方法是:先用--skip-grant-tables参数启动mysqld，然后执行 mysql -u root mysql,mysql>update user set password=password('newpassword') where user='root';mysql>flush privileges;，最后重新启动mysql就可以了。

为了防止被恶意传入非法参数，例如where id=234，别人却输入where id=234 or 1=1导致全部显示，所以在web的表单中使用''或""来用字符串，在动态url中加入%22代表双引号、%23代表井号、%27代表单引号;传递未检查过的值给mysql数据库是非常危险的;

4. 使用一个低特权用户作为 SQL 服务器服务的查询操作账户，不要用 LocalSystem 或sa。 这个帐户应该有最小的权利 ( 注意作为一个服务运行的权利是必须的)和应该包含( 但不停止）在妥协的情况下对服务器的攻击。 注意当使用企业管理器做以上设置时 , 文件，注册表和使用者权利上的 ACLs同时被处理。

日前SQL INJECTION的攻击测试愈演愈烈，很多大型的网站和论坛都相继被注入。这些网站一般使用的多为SQLSERVER数据库，正因为如此，很多人开始怀疑SQL SERVER的安全性。其实SQL SERVER2000已经通过了美国政府的C2级安全认证-这是该行业所能拥有的最高认证级别，所以使用SQLSERVER还是相当的安全的。当然和ORCAL、DB2等还是有差距，但是SQL SERVE

微软的SQL脚本生成令我伤透了心……我一直以为是我的程序上的问题，或者我操作上的失误， 并且，客服务人员屡屡埋怨我的程序bug，多次测试之后，靠，原来都是微软惹的祸……