sqlserver防止数据库挂马新尝试-mysql教程-PHP中文网

首页

数据库

mysql教程

sqlserver防止数据库挂马新尝试

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 07, 2016 pm 03:14 PM

sqlserver尝试放数据库防止

想法不错,放着以后应该会有用网站挂马非常让人头痛，每次的安全措施都是治标不治本，想找到根本原因，只能去分析你的程序源代码，由于很多网站不是一个程序员开发，很多的注入漏洞很难发现，曾经通过公共文件加入过滤代码，基本无效，买了个叫龙盾的IIS防火

想法不错,放着以后应该会有用

网站挂马非常让人头痛，每次的安全措施都是治标不治本，想找到根本原因，只能去分析你的程序源代码，由于很多网站不是一个程序员开发，很多的注入漏洞很难发现，曾经通过公共文件加入过滤代码，基本无效，买了个叫龙盾的IIS防火墙，好像有点用，但最后还是被攻破了，sqlserver又被挂了。

　　每次注入都要用“UPDATE 表名 set 字段名= REPLACE(字段名,

　　网站挂马非常让人头痛，每次的安全措施都是治标不治本，想找到根本原因，只能去分析你的程序源代码，由于很多网站不是一个程序员开发，很多的注入漏洞很难发现，曾经通过公共文件加入过滤代码，基本无效，买了个叫龙盾的IIS防火墙，好像有点用,但最后还是被攻破了，sqlserver又被挂了。

　　每次注入都要用“UPDATE 表名 set 字段名= REPLACE(字段名,'木马地址','')”最后一个引号真想写去死吧！

　　我们不能阻止住它往数据库里挂木马，但是总有方法我们可以让它挂不成功。最后想到了触发器。熟悉触发器的都知道，sql2000插入数据和修改数据其实都是先放在inserted临时表里，然后才实际去放到对应表里。阻击黑客的脚步就这个临时表里。

　　下面是一段触发器的代码，暂时对木马注入起到一定的作用。

　　CREATE trigger 触发器名

　　on 表名

　　for update,insert

　　declare @a varchar(100) --存储字段1

　　declare @b varchar(100) --存储字段2

　　declare @c varchar(100) --存储字段3

　　select @a=字段1,@b=字段2,@c=字段3 from inserted

　　if(@a like '%script%' or @b like '%script%' or @c like '%script%')

　　begin

　　ROLLBACK transaction

　　end

　　这段触发器的意思是，先定义三个变量，分别存储放在inserted表里的三个容易被黑客下手的字符串型字段，然后用like模糊判断值中是否含有script字样，如果有，就回滚事务，不报错，以麻痹黑客，让他误以为已经挂好马了。各位被挂马的朋友可以把这段脚本拿去，对应着修改，应该可以保证网站不被挂马。另外容易被挂马的字段还有text型，但是这个类型处理比较麻烦点，而且观察发现黑客挂一个表往往是好几个字段同时挂，所以只要一个字段不成功，整个表都是不成功的。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

MySQL与Sqlite有何不同？Apr 24, 2025 am 12:12 AM

MySQL和SQLite的主要区别在于设计理念和使用场景：1.MySQL适用于大型应用和企业级解决方案，支持高性能和高并发；2.SQLite适合移动应用和桌面软件，轻量级且易于嵌入。

MySQL中的索引是什么？它们如何提高性能？Apr 24, 2025 am 12:09 AM

MySQL中的索引是数据库表中一列或多列的有序结构，用于加速数据检索。1）索引通过减少扫描数据量提升查询速度。2）B-Tree索引利用平衡树结构，适合范围查询和排序。3）创建索引使用CREATEINDEX语句，如CREATEINDEXidx_customer_idONorders(customer_id)。4）复合索引可优化多列查询，如CREATEINDEXidx_customer_orderONorders(customer_id,order_date)。5）使用EXPLAIN分析查询计划，避

说明如何使用MySQL中的交易来确保数据一致性。Apr 24, 2025 am 12:09 AM

在MySQL中使用事务可以确保数据一致性。1)通过STARTTRANSACTION开始事务，执行SQL操作后用COMMIT提交或ROLLBACK回滚。2)使用SAVEPOINT可以设置保存点，允许部分回滚。3)性能优化建议包括缩短事务时间、避免大规模查询和合理使用隔离级别。

在哪些情况下，您可以选择PostgreSQL而不是MySQL？Apr 24, 2025 am 12:07 AM

选择PostgreSQL而非MySQL的场景包括：1)需要复杂查询和高级SQL功能，2)要求严格的数据完整性和ACID遵从性，3)需要高级空间功能，4)处理大数据集时需要高性能。PostgreSQL在这些方面表现出色，适合需要复杂数据处理和高数据完整性的项目。

如何保护MySQL数据库？Apr 24, 2025 am 12:04 AM

MySQL数据库的安全可以通过以下措施实现：1.用户权限管理：通过CREATEUSER和GRANT命令严格控制访问权限。2.加密传输：配置SSL/TLS确保数据传输安全。3.数据库备份和恢复：使用mysqldump或mysqlpump定期备份数据。4.高级安全策略：使用防火墙限制访问，并启用审计日志记录操作。5.性能优化与最佳实践：通过索引和查询优化以及定期维护兼顾安全和性能。

您可以使用哪些工具来监视MySQL性能？Apr 23, 2025 am 12:21 AM

如何有效监控MySQL性能？使用mysqladmin、SHOWGLOBALSTATUS、PerconaMonitoringandManagement(PMM)和MySQLEnterpriseMonitor等工具。1.使用mysqladmin查看连接数。2.用SHOWGLOBALSTATUS查看查询数。3.PMM提供详细性能数据和图形化界面。4.MySQLEnterpriseMonitor提供丰富的监控功能和报警机制。

MySQL与SQL Server有何不同？Apr 23, 2025 am 12:20 AM

MySQL和SQLServer的区别在于：1)MySQL是开源的，适用于Web和嵌入式系统，2)SQLServer是微软的商业产品，适用于企业级应用。两者在存储引擎、性能优化和应用场景上有显着差异，选择时需考虑项目规模和未来扩展性。

在哪些情况下，您可以选择SQL Server而不是MySQL？Apr 23, 2025 am 12:20 AM

在需要高可用性、高级安全性和良好集成性的企业级应用场景下，应选择SQLServer而不是MySQL。1)SQLServer提供企业级功能，如高可用性和高级安全性。2)它与微软生态系统如VisualStudio和PowerBI紧密集成。3)SQLServer在性能优化方面表现出色，支持内存优化表和列存储索引。

See all articles