彻底杜绝SQL注入

 

彻底杜绝SQL注入 

1.不要使用sa用户连接数据库 
2、新建一个public权限数据库用户，并用这个用户访问数据库 
3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限 
4、[用户]用户名称-> 右键－属性－权限－在sysobjects与syscolumns上面打“×” 
5、通过以下代码检测（失败表示权限正确，如能显示出来则表明权限太高）： 
DECLARE   @T   varchar(255), 
@C   varchar(255) 
DECLARE   Table_Cursor   CURSOR   FOR 
Select   a.name,b.name   from   sysobjects   a,syscolumns   b 
where   a.id=b.id   and   a.xtype= 'u '   and   (b.xtype=99   or   b.xtype=35   or   b.xtype=231   or   b.xtype=167)   
OPEN   Table_Cursor 
FETCH   NEXT   FROM   Table_Cursor   INTO   @T,@C 
WHILE(@@FETCH_STATUS=0) 
BEGIN   print   @c 
FETCH   NEXT   FROM   Table_Cursor   INTO   @T,@C   
END 
CLOSE   Table_Cursor 
DEALLOCATE   Table_Cursor   
--------------------------------------------------------------- 

本文来自优快云博客，转载请标明出处：http://blog.youkuaiyun.com/htl258/archive/2009/04/03/4026169.aspx