日前SQL INJECTION的攻击测试愈演愈烈，很多大型的网站和论坛都相继被注入。这些网站一般使用的多为SQL SERVER数据库，正因为如此，很多人开始怀疑SQL SERVER的安全性。其实SQL SERVER 2000已经通过了美国政府的C2级安全认证-这是该行业所能拥有的最高认证级别，所以使用SQL SERVER还是相当的安全的。当然和ORCALE、DB2等还是有差距，但是SQL

SERVER的易用性和广泛性还是能成为我们继续使用下去的理由。那怎么样才能使SQL SERVER的设置让人使用的放心呢？

1.1.        第一步

打上SQLSERVER最新的安全补丁，现在补丁已经出到了SP3。下载地址：http://www.microsoft.com/sql/downloads/2000/sp3.asp。如果这一步都没有做好，那我们也没有继续下去的必要了。

1.2.        第二步

修改默认的1433端口，并且将SQL SERVER隐藏。这样能禁止对试图枚举网络上现有的SQL Server客户端所发出的广播做出响应。另外，还需要在TCP/IP筛选中将1433端口屏蔽掉，尽可能的隐藏你的SQL SERVER数据库。这样既便让攻击创建了SQL SERVER的账号，也不能马上使用查询分析器远程登陆来进行下一步的攻击。单从ASP，PHP等页面构造恶意语句的话，还有需要查看返回值的问题，总比不上直接查询分析器来得利落。所以我们首先要做到即使让别人注入了，也不能让攻击者下一步做得顺当。修改方法：

企业管理器--> 你的数据库组 --> 属性 --> 常规 --> 网络配置 --> TCP/IP --> 属性，在这儿将你的默认端口进行修改，和SQL SERVER的隐藏。

1.3.        第三步

SQL INJECTION往往在WEB CODE中产生，而作为系统管理员或者数据库管理员，总不能常常的去看每一段代码。即使常常看代码，也不能保证我们在上面的疏忽。那怎么办？我们就要从数据库角色着手，让数据库用户的权限划分到最低点。SQL SERVER的默认权限让人真的很头疼，权限大得非常的高，权限小的又什么都做不了，SYSADMIN和DB_OWNER 真是让人又爱又恨。攻击者一但确认了网站存在SQL INJECTION漏洞，肯定有一步操作步骤就是测试网站的SQL SERVER使用者具有多大的权限。一般都会借助

[1] [2] [3] [4] [5] [6] [7] [8] 下一页