1. 在sql2008中,如何启用和禁用xp_cmdshell
-- 允许配置高级选森歼项
EXEC sp_configure 'show advanced options', 1
GO
-- 重新配置
RECONFIGURE
GO
-- 禁用此汪冲xp_cmdshell
EXEC sp_configure 'xp_cmdshell', 1
GO
--重新陵敬配置
RECONFIGURE
GO
2. sql代理(已禁用xp),怎么重启我试过右键,但是那个重启键为灰色,也就是说没法用,怎么办
在【SQL Server配置管理器】中无法启动代理的处理办法:如果右键点击【SQL Server代理】时,【启动】是灰色的,无法启动的话,原因就是在【服务】中是禁用。只要打开【控制面板】,进入【管理工具】,打开【服务】,然后找到【SQL Server代理】,双击后选择【启动类型】(如:手动),再重启【SQL Server配置管理器】,【SQL Server代理】就可以启动了。
3. 如何禁用SQL里的CMD命令
开始——程序——Microsoft SQL Server 2005——配置工具——SQL Server 外围应用配置器——点击功能外围应用配置器——在弹出的框的左枝铅谈边点击xp_cmdshell——在右边中把启用猛碰xp_cmdshell前的激慧对勾去掉,点击应用就OK了。
4. 急啊,请帮忙啊sql server 2005使用windows身份创建数据库出错,错误262!!!
输入你的本地服务器名,一般都是local,另外你开启一下你的sql服务,在dos命令中输入:net
start
mssqlserver即可!
希望对你有帮助,祝你好运!
5. 请教南方数据的SQL注入漏洞的修补措施
你用的是SQL注入 说明SQL这方面有漏洞 解决方法如下
(1)对于动态构造SQL查询的场合,可以使用下面的技术:
第一:替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义。再来看前面的例子,“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”显然会得到与“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”茄源不同的结果。
第二:删除用户输入内容中的所有连字符,防止攻击者构造出类如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之类的查询,因为这类查询的后半部分已经被注释掉,不再有效,攻击者只要知道一个合法的用户登录名称,根本不需要知道用户的密码就可以顺利获得访问权限。
第三:对于用来执行查询的数据库帐户,限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作,因而也就防止了原本用于执行SELECT命令薯高的地方却被用于执行INSERT、UPDATE或DELETE命令。
⑵ 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。
⑶ 限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符,那么不要认可表单中输入的10个以上的字符,这将大大增加攻击者在SQL命令中插入有害代码的难度。
⑷ 检查用户输入的合法性,确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证,是为了弥补客户端验证机制脆弱的安全性。
在客户端,攻击者完全有可能获得网页的源代码,修改验证合法性的脚本(或者直接删除脚本),然后将非法内容通过修改后的表单提交给服务器。因此,要保证验证操作确实已经执行,唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象,例如RegularExpressionValidator,它们能够自动生成验证用的客户端脚本,当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象,你可以通过CustomValidator自己创建一个。
⑸ 将用户登录名称、密码等数据加密保存。加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了“消毒”处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入SQL命令。System.Web.Security.FormsAuthentication类有一个,非常适合于对输入数据进行消毒处理。
⑹ 检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录,但实际返回的颤手态记录却超过一行,那就当作出错处理。
---------------------------------------------------------------------------------------------------------------------------
关键是明白原理,其实防范很简单的,
1.过滤SQL需要的参数中的敏感字符(注意加入忽略大小写)
2.禁用数据库服务器的xp_cmdshell存储过程,删除相应用到的dll
3.屏蔽服务器异常信息
6. SQL Server 代理(已禁用代理 XP)
代理服务是作用:当主服务器出现故障时,或者要检修等原因,要暂停工作时。这时代理服务器会自动代替主服务器的工作
7. sql2005 如何禁用xp_cmdshell
在查询分析器里执行尺知
---启用
-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
GO
-- To update the currently configured value for advanced options.
RECONFIGURE
GO
-- To enable the feature.
EXEC sp_configure 'xp_cmdshell', 1
GO
-- To update the currently configured value for this feature.
RECONFIGURE
GO
---------------禁拿皮用
-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
GO
-- To update the currently configured value for advanced options.
RECONFIGURE
GO
-- To enable the feature.
EXEC sp_configure '消困差xp_cmdshell', 0
GO
-- To update the currently configured value for this feature.
RECONFIGURE
GO
8. SQL SERVER 2008 里怎么禁用xp_dirtree 组件啊
--删除危险的存储过程
dropPROCEDUREsp_makewebtask
execmaster..sp_dropextendedprocxp_cmdshell
exec尘知master..sp_dropextendedprocxp_dirtree
execmaster..sp_dropextendedprocxp_fileexist
execmaster..sp_dropextendedprocxp_terminate_process
execmaster..sp_dropextendedprocsp_oamethod
execmaster..sp_dropextendedproc派衫消sp_oacreate塌行
execmaster..sp_dropextendedprocxp_regaddmultistring
execmaster..sp_dropextendedprocxp_regdeletekey
execmaster..sp_dropextendedprocxp_regdeletevalue
execmaster..sp_dropextendedprocxp_regenumkeys
execmaster..sp_dropextendedprocxp_regenumvalues
execmaster..sp_dropextendedprocsp_add_job
execmaster..sp_dropextendedprocsp_addtask
execmaster..sp_dropextendedprocxp_regread
execmaster..sp_dropextendedprocxp_regwrite
execmaster..sp_dropextendedprocxp_readwebtask
execmaster..sp_dropextendedprocxp_makewebtask
execmaster..sp_dropextendedprocxp_regremovemultistring
9. sql禁止用xp_cmdshell
在SQL查询里输入
禁止了CMDSHELL 存储过程, 这样做肢码的目的是历尺哪禁用了一个困扒SQL漏洞
10. SQL sever2005中实现禁用xp_cmdshell的工具是什么
SQL Server 外围应用配置孙滑锋器==>功则晌能的外围应用配置让岩器==>
==>MSSQLSERVER==>Database Engine==>xp_cmdshell==>启用xp_cmdshell