我单位的服务器下的网站近来一直受到黑客的侵扰,主要方式是用dir_tree查看目录,然后用backup log备份WEBSEHLL,我在一个技术Q群里请教些事时,一位群友说可以用SQL用户的权限更改来防止SQL注入,并且给我看了演示,用黑客常用的工具NBSI注入时,C盘和D盘下的文件可以列出来,但是D:\WEB下的目录就无法列出,并且也不能进行BACKUP,但让他教我时居然向我索要"咨询费".请教一下各位老大,要如何配置权限才能达到上述不能列出WEB目录的效果,如何才能禁用backup log
调试欢乐多
用户参数过滤意味着用户有没有可能获取额外权限。改变sql权限,只是限定非法用户造成破坏的范围。nbsi就别说了
http://mlxia.javaeye.com/blog/140803这文章就是nbsi的作者写的。作者写这工具前,我们几个就在一起搞注入..