使用sqlserver2000已经五六年了,但对于sqlserver的使用,一直也在边缘阶段,除非有特殊问题,才专门研究一番;有朋友是做IDC的,最近在一块讨论,说有一个客户,是自己写的asp程序,最近总中木马并且还在sql数据库中建立了一些垃圾表,虽然不影响服务器安全,但这样一来,也总是问题,看能不能解决下?
这问题算是比较普遍的asp类问题了,业余asp编写者,在编写asp代码时,难免对于过滤特殊字符,没有考虑周全,这方面可以利用网上比较通用的asp木马注入过滤程序来缓步解决,具体方法,不多赘述;
sqlserver的安全,本站中有很多文章都有提及,不仅涉及删除危险的存储过程,建立sql独立运行用户,设置sqlserver的目录权限等,来设置sqlserver以及整体服务器的安全,另外,虚拟主机各用户都有独立的sql访问权限,不会影响到其它数据库,更不会影响到sql整体和服务器安全;朋友所提到的,第二个问题,就是随意在数据库中建立表,把木马注入问题解决后,这个问题可以得到缓解,但还可以更进一步做出设置,就是限制虚拟主机sql独立用户对数据库的管理权限,一般,虚拟主机会给该sql独立数据库用户分配该数据库的完全db_ower权限,这时,该用户对此数据库的所有表、字段有着一切管理权限,包括建立表、删除表、新建字段等,一般数据库在表结构建立以后,对于数据库结构的修改,会比较少,主要会对数据库进行读取、写入操作,因此,可以考虑,只给此sql独立访问用户对该数据库的读、写权限,其它权限暂时封闭。进入“sql server企业管理器”,点击要进行限制的数据库,选择“用户”,比如test用户,在test上点击鼠标右键,选择属性,去掉db_owner权限,加上db_datareader和db_datawriter权限即可。
