【求助】请教大佬:如何禁用SQLServer2008R2的部分系统函数?尤其是元数据函数?

weixin_39830844 2019-03-08 09:45:55
目前情况是为了防御sql注入带来的危害,防止攻击通过合法查询将项目拖库,我拒绝了登录名在master库中的查询请求。这样就不能使用以下几个语句访问元数据:
select * from master.sys.sysdatabases

select * from sysobjects where xtype='U'

select * from syscolumns

然后我发现没有任何一个权限可以不让用户在查询中调用系统函数,这样用户就可以通过以下三个函数将项目中所有的库、表、字段枚举出来


select DB_NAME(int)

select OBJECT_NAME(int)

select COL_NAME(int,int)


这不是完全拦不住吗,虽然object的ID可以达到几十亿,但最多几天的时间也够枚举完毕了。

真心求教,如何禁用或者删除部分系统函数,尤其是这些元数据函数
...全文
45 回复 打赏 收藏 转发到动态 举报
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
DL:我的第一个.NET Core 项目,博客地址
软件架构框架:.NET Core3.1ORM:SqlSugar数据库:Sqlserver08R2+后端UI:Layui日志记录:log4+nlog缓存:内存缓存+redis缓存授权:基于cookie的JWT授权IOC:使用Autofac框架进行构造函数注入项目截图:使用教程直接 ...
Qt5连接SQL server2008
qt连接SQL server2008安装环境配置Sql数据源Qt连接SQL server2008 安装环境 安装Qt,我安装的是Qt5.2.1(下载链接:...
SQLServer数据库注入测试
Part one:How phpstudy connects to SQL Server 2008 总结一下:使用PHPstudy集成环境中的php5.4.45连接SQL server 2008相关坑点。 在百度上能搜索到的大部份方法都是有效的,但是如果你是一个运气不太好的新手的...
已解决SQL错误(208):对象名‘string_split‘无效。
已解决(SqlServer报错)SQL错误(208):对象名‘string_split‘无效。
SQL Sever 基本命令使用复习
操作环境:Hyper-v 虚拟机 运行 Windows Sever 2012 R2 + SQL Sever Express 2012 SP2 使用教材:数据库原理及应用教程 第4版 微课版 主编 陈志泊 虚拟机的安装# 如果你是纯理论派的话,不装也不是不行,可以跳到...
疑难问题

22,209

社区成员

121,730

社区内容

发帖
与我相关
我的任务
社区描述
MS-SQL Server 疑难问题
社区管理员
  • 疑难问题社区
  • 尘觉
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章