[Sql server]应用程序中的高级SQL注入(13)

方法三——只允许正确的输入

function validatepassword(input)

good_password_chars=” abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789”

validatepassword=true

for i=1 to len(input)

c=mid(input,I,1)

if(InStr(good_password_chars,c)=0) then

validatepassword=false

exit function

end if

next

end function

[SQL SERVER锁定]

在这指出的重要一点是锁定SQL SERVER是必要的；外面的是不安全的。这是一个但创建SQL SERVER时需要做的事情的简短的列表：

1.确定连接服务器的方法

a.确定你所使用的网络库是可用的，那么使用"Network Utility"

2.确定哪些帐户是存在的

a.为应用程序的使用创建一个低权限的帐户

b.删除不必要的帐户

c.确定所有帐户有强壮的密码；执行密码审计

3.确定哪些对象存在

a.许多扩展存储过程能被安全地移除。如果这样做了，应该移除包含在扩展存储过程代码中的''.dll''文件

b.移除所有示例数据库——例如''northwind''和''pubs''数据库

4.确定哪写帐户能过使用哪些对象

a.应用程序进入数据库所使用的帐户应该有保证能够使用它需要的对象的最小权限

5.确定服务器的补丁

a.针对SQL SERVER有一些缓冲区溢出和格式化字符串攻击，也有一些其他的安全补丁发布。应该存在很多。

6.确定什么应该被日志记录，什么应该在日志中结束