当前位置: 首页 > 图文教程 > 数据库 > MSSQL > 修改SQL SERVER内置存储过程

MSSQL
获取MSSQL数据字典的SQL语句
Microsoft Search 服务无法启动 解决办法.
找出所有非xml索引并重新整理的sql
SQL Server提示"选定的用户拥有对象,所以无法除去该用户”
SQL Server"错误 21002: [SQL-DMO]用户 * 已经存在问题解决
删除重复记录,并且剩下一条
select * from sp_who的解决方案
Sql语句与存储过程查询数据的性能测试实现代码
MSSQL 游标使用 心得
SQL 时间类型的模糊查询
mssql 指定字段编号sql语句
sql server中的decimal或者numeric的精度问题
sql 数据库还原图文教程
存储过程解密(破解函数,过程,触发器,视图.仅限于SQLSERVER2000)
MSSQL SERVER中的BETWEEN AND的使用
SQL Server约束增强的两点建议
SQL Server 更改DB的Collation
Oracle 10g各个帐号的访问权限、登录路径、监控状态命令查询等等
SQL Server的复制功能
sql 普通行列转换

MSSQL 中的 修改SQL SERVER内置存储过程


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-30   浏览: 88 ::
收藏到网摘: n/a

    SQLSERVER估计是为了安装或者其它方面,它内置了一批危险的存储过程。能读到注册表信息,能写入注册表信息,能读磁盘共享信息等等……各位看到这儿,心里可能会在想,我的网站中有其它的代码,又不像查询分析器那样能直接将结果输出。给你这个权限,也不能怎么样,还是看不到信息。如果各位这样想就大错特错了。提示一下,如果攻击者有CREATE TABLE的权限,那么创建一个临时表,然后将信息INSERT到表中,然SELECT出来,接着跟数字进行比较,让SQL SERVER报错,那么结果就全出来了……所以我们要报着宁错杀,不放过的态度进行修补。
  
  先来列出危险的内置存储过程:
  
  xp_cmdshell
  
  xp_regaddmultistring
  
  xp_regdeletekey
  
  xp_regdeletevalue
  
  xp_regenumkeys
  
  xp_regenumvalues
  
  xp_regread
  
  xp_regremovemultistring
  
  xp_regwrite
  
  ActiveX自动脚本:
  
  sp_OACreate
  
  sp_OADestroy
  
  sp_OAMethod
  
  sp_OAGetProperty
  
  sp_OASetProperty
  
  sp_OAGetErrorInfo
  
  sp_OAStop
  
  以上各项全在我们封杀之列,例如xp_cmdshell屏蔽的方法为:
  
  sp_dropextendedproc 'xp_cmdshell'
  
  如果需要的话,再用
  
  sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
  
  进行恢复。如果你不知道xp_cmdshell使用的是哪个.dll文件的话,可以使用
  
  sp_helpextendedproc xp_cmdshel
  
  来查看xp_cmdshell使用的是哪个动态联接库。另外,将xp_cmdshell屏蔽后,我们还需要做的步骤是将xpsql70.dll文件进行改名,以防止获得SA的攻击者将它进行恢复。