SQL 安全问题请指教

好奇都是要学的 2018-05-25 01:33:24
加精
查看登陆日志发现一天上千条登陆失败都是用SA登陆。 请问大神们如何把数据库弄的更安全些。
我现在是禁止SA登陆,然后创建了个用户,创建的用户只能访问用户库,给对应的权限。
大神都是怎么设置的啊,SA账号是不是都不用或者直接删除SA账号。下面是我设计。其他用户需要禁用吗。
...全文
3750 66 打赏 收藏 转发到动态 举报
写回复
用AI写文章
66 条回复
切换为时间正序
请发表友善的回复…
发表回复
yuze6666 2018-06-07
  • 打赏
  • 举报
 回复
别别别不知道啊
好奇都是要学的 2018-06-06
  • 打赏
  • 举报
 回复
引用 51 楼 wmxcn2000 的回复:
找到尝试用 sa 登录的 IP 地址,启用防火墙,屏蔽它。
引用 43 楼 z10843087 的回复:
@二月十六 可以给推荐一下
请问SQL里 varbinary类型的列 能用来当where 条件吗? select * from BigSettlement where SettlementData='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数值没错。 但是取不到值
好奇都是要学的 2018-06-06
  • 打赏
  • 举报
 回复
引用 43 楼 z10843087 的回复:
@二月十六 可以给推荐一下
请问SQL里 varbinary类型的列 能用来当where 条件吗? select * from BigSettlement where SettlementData='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数值没错。 但是取不到值
OwenZeng_DBA 2018-06-06
  • 打赏
  • 举报
 回复
引用 62 楼 wang2129929 的回复:
[quote=引用 51 楼 wmxcn2000 的回复:] 找到尝试用 sa 登录的 IP 地址,启用防火墙,屏蔽它。
引用 43 楼 z10843087 的回复:
@二月十六 可以给推荐一下
请问SQL里 varbinary类型的列 能用来当where 条件吗? select * from BigSettlement where SettlementData='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数值没错。 但是取不到值[/quote] 可以,去掉引号。
qq_42061115 2018-06-05
  • 打赏
  • 举报
 回复
CodeForge的这个代码或许可以解答你的问题 http://www.codeforge.cn/article/300712
甲乙丙75 2018-06-02
  • 打赏
  • 举报
 回复
删库到跑路 2018-05-29
  • 打赏
  • 举报
 回复
我觉得的还是程序和DB分开,断了外网访问数据库,改端口,参数化和防火墙设置更是需要 如果发现有ip在扫你就直接换端口或者用路由,防火墙屏蔽
好奇都是要学的 2018-05-29
  • 打赏
  • 举报
 回复
引用 53 楼 superwfei 的回复:
除了3389这个远程服务之外,其他可远程操作的东西都用IPSec来设置一下IP范围,只允许指定的IP访问相关的端口
最近在看IPSEC配置。 安全策略组里的吧
好奇都是要学的 2018-05-29
  • 打赏
  • 举报
 回复
引用 52 楼 z10843087 的回复:
[quote=引用 48 楼 wang2129929 的回复:] [quote=引用 43 楼 z10843087 的回复:] @二月十六 可以给推荐一下
你还没回答, 我像上面那样设置个新用户可以吗?如果不行,你教教我应该怎么设置[/quote] 就这么设置就可以。其它用户不用禁用,其它的都是window 登录账号了.[/quote] 谢谢
好奇都是要学的 2018-05-29
  • 打赏
  • 举报
 回复
http://fy.zsplaying.com/ http://fy.zsplaying.com/phone/login.aspx http://fy.zsplaying.com/agent/login.aspx 这是我的网站。 3个登陆页面。 看看谁能攻击进去
文盲老顾 2018-05-28
  • 打赏
  • 举报
 回复
除了3389这个远程服务之外,其他可远程操作的东西都用IPSec来设置一下IP范围,只允许指定的IP访问相关的端口
OwenZeng_DBA 2018-05-28
  • 打赏
  • 举报
 回复
引用 48 楼 wang2129929 的回复:
[quote=引用 43 楼 z10843087 的回复:] @二月十六 可以给推荐一下
你还没回答, 我像上面那样设置个新用户可以吗?如果不行,你教教我应该怎么设置[/quote] 就这么设置就可以。其它用户不用禁用,其它的都是window 登录账号了.
卖水果的net 版主 2018-05-28
  • 打赏
  • 举报
 回复
找到尝试用 sa 登录的 IP 地址,启用防火墙,屏蔽它。
吉普赛的歌 版主 2018-05-28
  • 打赏
  • 举报
 回复 1
引用 47 楼 wang2129929 的回复:
[quote=引用 41 楼 yenange 的回复:] 你的数据库, 目前有没有禁止远程访问?
没有。以后会关闭 远程登录, 不用SA用户[/quote] 这个最薄弱的环节都不禁止…… 不应是以后再做, 而是立即就做。 不是什么 sa 的问题, 远程根本就不该开启。 为了方便开启sql远程登录, 最终害了自己的。方便有时就是危险的同义词。 没有经验丰富的运维人员协助你, 凡事都尽量从更安全的角度去考虑。
好奇都是要学的 2018-05-27
  • 打赏
  • 举报
 回复
引用 46 楼 VisionSpace 的回复:
赞同, 参数化是很有必要的, 不仅从安全和代码维护 上都是更方便。 还是需要习惯。。 防安全,还可以 改端口(虽然也可以被扫描到),但设防止墙指定IP 可访问呀。都可以呢。
、 参数化工作很慢。所以我才想弄个 防注入的。 端口号都改了
好奇都是要学的 2018-05-27
  • 打赏
  • 举报
 回复
引用 43 楼 z10843087 的回复:
@二月十六 可以给推荐一下
你还没回答, 我像上面那样设置个新用户可以吗?如果不行,你教教我应该怎么设置
好奇都是要学的 2018-05-27
  • 打赏
  • 举报
 回复
引用 41 楼 yenange 的回复:
你的数据库, 目前有没有禁止远程访问?
没有。以后会关闭 远程登录, 不用SA用户
幻影时空 2018-05-26
  • 打赏
  • 举报
 回复
赞同, 参数化是很有必要的, 不仅从安全和代码维护 上都是更方便。 还是需要习惯。。 防安全,还可以 改端口(虽然也可以被扫描到),但设防止墙指定IP 可访问呀。都可以呢。
OwenZeng_DBA 2018-05-25
  • 打赏
  • 举报
 回复
@二月十六 可以给推荐一下
IEEE_China 2018-05-25
  • 打赏
  • 举报
 回复
抬杠不至于。 既然这方面你觉得没问题,就找找是不是其他方面有什么漏洞。 我习惯参数化,尽量避免出现各种 是个人拿个工具就能攻击的漏洞。
加载更多回复(40)
Sql server之sql注入篇
SQL Injection   关于sql注入的危害在这里不多做介绍了,相信大家也知道其中的厉害关系。这里有一些sql注入的事件大家感兴趣可以看一下   防范sql注入的方法无非有以下几种:   1.使用类型安全SQL参数   2.使用参数化输入存储过程   3.使用参数集合与动态SQL   4.输入滤波   5.过滤LIKE条款的特殊字符   …如果有遗漏的也欢迎园子的大大们指教。   Sample:   var Shipcity;   ShipCity = Request.form ("ShipCity");   var sql = "select * from
aji.rar_aspx index安装
本系统采用ASP.Net(c#)+MS SQL Server编写,确认您的服务器支持。 1、如果您是在服务器上调试或使用本系统,首先将所有文件上传到服务器;如果您在本地使用,将所有文件放到IIS网站的根目录,或者新建WEB网站点指向counter目录,并且在网站默认文档中添加index.aspx! 2、修改web.config文件中<add key=。。。为你的sql server连接信息; 3、运行data_setup.aspx安装本系统所需数据表到你的sql server中,安装完成后更名或删除data_setup.aspx 4、系统管理员初始帐号和密码都是“1”,登陆并修改,以保证安全。 由于时间仓促,再加上本人刚开始学ASP.Net,肯定存在不少bug,望同仁指教。 注:本系统基本参照阿江统计系统改写,所以大部分保留了阿江的版权信息,在此对阿江表示感谢。
88Song在线音乐网站源码 1.0.rar
功能介绍: 用三层架构简单实现在线音乐平台能够播放音乐,百度推广分享,后台管理等 后台功能:歌曲管理 歌手管理 歌曲类型管理 安全管理 歌手类型管理 后台页面设计仿制liuwt999的三层架构音乐平台 希望各位大神可以多多指点,谢谢! 注意: 开发环境为Visual Studio 2010,数据库为SQL Server 2008,数据库文件在DB文件夹中附加就行。 后台地址:域名/admin/Admin_LoginPage.aspx 后台管理帐号和密码均为:admin 我是一个新手,这个项目我是从后台管理页面开始做的,然后做的前台页面,所以后台管理页面做很烂,不过以后会慢慢改进的,呵呵。欢迎各位大神多多指教。 本人QQ:719365064
酷站统计系统
为达到最佳效果,推荐使用九网互联的ASP.net空间,支持ASP.net版本1.1和2.0在线切换、在线脚本映射、ASP.net具体错误信息在线查看。通过在要统计的页面潜入js脚本就可以对访问进行详细统计,可以按小时、日、月、年进行柱状图进行显示分析。具有来路统计、被访页面、IP统计、客户端软件、访问者地区的分析功能,也可以进行自定义统计方式进行数据显示。可以通过后台设置Cookie刷新时间、小数精确度等统计参数进行设置。本系统采用ASP.Net(c#)+MS SQL Server编写,确认您的服务器支持。1、如果您是在服务器上调试或使用本系统,首先将所有文件上传到服务器;如果您在本地使用,将所有文件放到IIS网站的根目录,或者新建WEB网站点指向counter目录,并且在网站默认文档中添加index.aspx!2、DB下为Sql数据库文件,在企业管理器下附加即可;3、修改web.config文件中 4、系统管理员初始帐号和密码都是“admin”,登陆并修改,以保证安全;5、test.htm为计数器测试文件由于时间仓促,再加上本人刚开始学ASP.Net,肯定存在不少bug,望同仁指教。注:本系统基本参照阿江统计系统改写,所以大部分保留了阿江的版权信息,在此对阿江表示感谢。
数据库服务器(全文).doc
数据库服务器(全文) 胡经国 本文作者的话 本文是根据有关文献和资料编写的《漫话云计算》系列文稿之一。现作为云计算学习笔 录,奉献给云计算业外读者,作为进一步学习和研究的参考。希望能够得到大家的指教 和喜欢! 下面是正文 一、概述 数据库服务器(Database Server),是指运行数据库系统的专用服务器,其功能就是为数据库系统的高性能运行 提供硬件支持和保障。 运行在局域网中的一台或多台计算机和数据库管理系统软件共同构成数据库服务器。 数据库服务器为客户应用提供数据服务。这些服务包括:查询、更新、事务管理、索引 、高速缓存、查询优化、安全及多用户存取控制等。 二、主要功能 数据库服务器,建立在数据库管理系统基础上,具有数据库管理系统的特性,而且有 其独特性能的—面。其主要功能如下: 1、数据库管理功能,包括:系统配置与管理、数据存取与更新管理、数据完整性管 理和数据安全性管理。 2、数据库的查询和操纵功能,包括:数据库检索和修改。 3、数据库维护功能,包括:数据导入/导出管理,数据库结构维护、数据恢复功能和 性能监测。 4、数据库并行运行。由于在同一时间,访问数据库的用户不止一个,所以数据库服 务器必须支持并行运行机制,处理多个事件的同时发生。 三、层次结构 在C/S(客户机/服务器)模型中,数据库服务器软件(后端)主要用于处理数据查询 或数据操纵的求。与用户交互的应用部分(前端)在用户的工作站上运行。它们的连 接软件是: 1、数据库服务器应用编程接口API; 2、通信连接软件和网络传输协议; 3、公用的数据存取语言SQL。 四、优点 1、编程量减少:数据库服务器提供用于数据操纵的标准接口API(Application Programming Interface,应用程序编程接口)。 2、数据库安全性高(安全保证好):数据库服务器提供监控性能、并发控制等工具 。由DBA(Database Administrator,数据库管理员)统一负责授权访问数据库及网络管理。 3、数据可靠性管理和恢复好:数据库服务器提供统一的数据库备份和恢复、启动和 停止数据库的管理工具。 4、计算机资源利用充分:数据库服务器把数据管理及处理工作,从客户机上分离出 来,使网络中各计算机资源能灵活分配、各尽其用。 5、系统性能提高:能大大降低网络开销;协调操作,减少资源竞争,避免死锁;提 供联机查询优化机制。 6、便于平台扩展:多处理器(相同类型)的水平扩展;多个服务器的水平扩展;垂 直扩展:服务器可以移植到功能更强的计算机上,不涉及处理数据的重新分布问题。 五、数据库服务器与Web服务器分离的好处 1、安全性 数据库服务器可以只对Web服务器提供服务,不至于暴露在互联网中。将网络嗅探、 暴力破解的可能性降到最低。 2、处理效率更高 数据库服务器可以只提供数据检索服务而不必处理其它服务。而且,数据库服务器不 需要外网,只在内网为Web服务器提供数据查询服务即可。Web服务器可以只处理Web求 ,不处理数据库操作,可以更好地利用带宽资源。 链接:网络嗅探 网络嗅探(Network Sniffer),是指利用计算机的网络接口截获目的地为其它计算机的数据报文的一种手段 。 网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具。有了嗅探器网 ,络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能。当网络性能 急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。网络嗅探是网 络监控系统的实现基础。 任何东西都有它的两面性,在黑客的手中,嗅探器就变成了一个黑客利器。 链接:暴力破解 穷举法(Exhaustive Attack method),别称强力法、暴力破解,是指对截获的密文依次用各种可能的密钥破译。 穷举法是一种针对于密码的破译方法。这种方法很像数学上的"完全归纳法"并在密码 破译方面得到了广泛的应用。简单来说就是将密码进行逐个推算直到找出真正的密码为 止。比如一个四位并且全部由数字组成其密码共有10000种组合,也就是说最多我们会尝 试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算,也 就是说用我们破解任何一个密码也都只是一个时间问题。 六、选型原则及实例解说 1、数据库服务器选型概述 数据库服务器作为业务系统的核心,具有业务量大、存储数据量大等特点。它承担着 业务数据的存储和处理任务。因此,关键数据库服务器的选择就显得尤为重要。服务器 的可靠性和可用性是首要的需求;其次是数据处理能力和安全性;然后是可扩展性和可 管理性。 根据应用类型和规模的不同,数据库对于服务器的性能要求也不一样。例如对于大型 数据库来说,服务器往往仅用来运行数据库,或仅运行单一的应用。数据库的容量在1T B以上,需要有较
MS-SQL Server

34,592

社区成员

254,589

社区内容

发帖
与我相关
我的任务
社区描述
MS-SQL Server相关内容讨论专区
社区管理员
  • 基础类社区
  • 二月十六
  • 卖水果的net
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章