发信人: hustoff (hustoff), 信区: WebDev
标 题: Re: 我心中所知道的一些幼稚的安全措施
发信站: 武汉白云黄鹤站 (2005年05月08日10:42:35 星期天)
这个论调显然不正确
SQL Server虽然可以保证数据库不被下载(事实上除了Access,SQLite这些文件型的数据库
,其他监听某个端口的数据库服务器都可以做到这点,这并不是SQL Server的优势),但
SQL Server在ASP新手那里往往导致更为严重的安全隐患,比较典型的就是用sa连接数据库
,而且还存在sql injection漏洞,结果就是被人拿到administrator的权限——不知道有
多少人还记得两年前我指出的学校各大网站(当然他们都是使用ASP or .Net+SQL Serve
r)的这个漏洞。
【 在 Ahuaxz 的大作中提到: 】
: SQLServer最安全.
: 哈哈
: 【 在 aw (Macromedia:武汉;Adobe:广州) 的大作中提到: 】
: : ·用form传输数据,这样就可以避免人家用
: : xxx.asp?xxx=xxx&xxx=xxx 站外提交
: : ·把mdb数据库写在特殊目录下并且把后缀改为asa或者asp
: : 可是我想知道…这究竟安全么,我知道答案是否定的,只是希望高手们给一些明确..
: : 。
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=2447218