MySQL是一个真正的多用户、多线程SQL数据库服务器。process Process_priv 允许您察看当前执行的查询的普通文本,包括设定或改变口令查询 服务器管理 grant Grant_priv 允许你把你自己拥有的那些权限授给其他的用户 数据库或表

[阅读全文]

read_handshake() — 这个函数在server返回初始握手信息时被调用，可以调用这个函数在验证信息发给服务器前进行额外的检查。read_query() — 每次client发送查询请求函数的时候被调用，可以用这个函数进行查询语句的预处理，过滤掉非预期的查询等等，这个是最常用的函数

[阅读全文]

正确清理木马，注意数据库不能随便修改或删除，被挂上马后，更需要谨慎的操作。3、最好在网站源码中做好过滤，在数据库中限制字符的类型和长度。大家可能无法保证天天备份数据库，但也会保证每周备份一次，如果有时间保证天天备份数据库。

[阅读全文]

你需要加强象sa这样的帐号的密码，跟系统帐号的使用配置相似，一般操作数据库不要使用象sa这样的最高权限的帐号，而使用能满足你的要求的一般帐号。用下面语句对所有帐号，检查对存储过程和扩展存储过程的执行权，提防不必要的执行权限扩散：

[阅读全文]

启动mysql，一般到mysql的安装路径，找到 mysqld-nt.exe 　　执行：mysqld-nt --skip-grant-tables 当前窗口将会停止。用Ctrl+Alt+Del，找到mysqld-nt的进程杀掉它，在重新启动mysql-nt服务，就可以用新密码登录了

[阅读全文]

随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。从技术角度讲，网络系统层次的安全防范技术有很多种，大致可以分为防火墙、入侵检测、协作式入侵检测技术等。

[阅读全文]

’出错时转向的页面 Query_Badword="’|and|select|update|chr|delete|%20from|;’在这部份定义get非法参数,使用"|"号间隔 Form_Badword="’|(|)|;’在这部份定义post非法参数,使用"|"号间隔

[阅读全文]

☆ 全站文章系统采用FSO静态生成的HTML文件来显示，这样做的好处一来可以减轻服务器负担，提高访问速度。-- 　　然后id=1552 and exists(select * from aaa where aaa>5)出错，得到字段名id=1552;update aaa set aaa=(select top 1 col_name(object_id(’表名’),2));--

[阅读全文]

使用phpmyadmin，这是最简单的了，修改mysql库的user表，不过别忘了使用PASSWORD函数。如果你的mysqladmin连接不上mysql server，或者你没有办法执行mysqladmin，那么这种方法就是无效的，而且mysqladmin无法把密码清空。

[阅读全文]

数据库，网站运营的基础，网站生存的要素，不管是个人用户还是企业用户都非常依赖网站数据库的支持，然而很多别有用心的攻击者也同样非常“看重”网站数据库。可以采用改变数据库文件存储位置的方法，将数据库文件存放在Web目录以外的某个文件夹中，让黑客难以猜测存储

[阅读全文]

SQL Server上内置了加密术用来保护各种类型的敏感数据。为了加密一个存储进程，使用下面形式的CREAT PROCEDURE 语句：　　CREATE PROCEDURE procedurename [;下一步就是你要保护你SQL Server数据，记住你在这里所学到的知识，并利用到你的数据库中保证你的数据不被那些

[阅读全文]

发送命令以后服务器会返回数据...所以还要加一个RichTextBox控件(个人推荐)...用textbox也可以　控件属性里面的选择第三个选项Use Connection String然后点Build配置字符串就可以了..

[阅读全文]

如今，很多关于mssql数据库的渗透技巧已不能有效地获取有用的数据值。从len(user)>0这语法的基础上，我们得知user的长度是7，之后再用left(user,1)=a这语法来猜出user名是 　　thomasa。(猜表名的工作是很烦人，建议用perl写个script来玩玩)

[阅读全文]

如今，很多关于mssql数据库的渗透技巧已不能有效地获取有用的数据值。从len(user)>0这语法的基础上，我们得知user的长度是7，之后再用left(user,1)=a这语法来猜出user名是 　　thomasa。(猜表名的工作是很烦人，建议用perl写个script来玩玩)

[阅读全文]

数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架可以划分为三个层次： 网络系统层次、 宿主操作系统层次和数据库管理系统层次。IDS的种类包括基于网络和基于主机的入侵

[阅读全文]

我不否认n早前的那个把asp木马写到图片文件中不失为一种好的方法，其实不仅可以写到图片啦 写到mp3文件里写到doc文件里都是可以的啦　本地打开后定义要生成的文件名 文件内容 远程提交 ok 又是一种留后门的方法　

[阅读全文]

本文的主要思路是通过在构造的语句中加入执行时间推延的函数，如果我们提交的判断是正确的，那么MYSQL查询时间就出现推延，如果提交的判断是正确，将不会执行时间推延的函数，查询语句将不会出现推延，这样我们就可以进行判断注射。

[阅读全文]

本文的主要思路是通过在构造的语句中加入执行时间推延的函数，如果我们提交的判断是正确的，那么MYSQL查询时间就出现推延，如果提交的判断是正确，将不会执行时间推延的函数，查询语句将不会出现推延，这样我们就可以进行判断注射。

[阅读全文]

前阵看到llikz的一个大作，获得动网前台管理员后暴log日志的方法。文章题目是《夏日动网洞不断》，呵呵，大家网络自行搜索。 Qw#?Q^U( recycle.asp?tablename=Dv_bbs1%20union%20select%201,1,l_conte nt,1,1,1%20from%20dv_log%20where%20l_id=5%20union%20select%2 0

[阅读全文]

什么是mdb数据库呢？凡是有点制作网站经验的网络管理员都知道，目前使用IIS+ASP+ ACCESS这套组合方式建立网站是最流行的，大多数中小型Internet网站都使用该套餐，但随之而来的安全问题也日益显著。其中最容易被攻击 者利用的莫过于mdb数据库被非法下载了。 mdb数据库

[阅读全文]

我们知道一般使用oracle数据库的都会是一些大的网站 所以一旦配置不当也会引起很多问题 最近看了很多关于oracle的文章，这几期黑X杂志都刊登了Mickey写的关于oracle的文章，感觉很是经典，但是我在网上找了一圈,竟然没有关 于isqlplus入侵的.我们知道oracle安装后可以

[阅读全文]

数据库作为一个站点的核心部分其重要性自然不言而喻，网管们也煞费苦心的把数据库改名、加上特殊符号来增 加安全性。但是最近一些安全站点的数据库路径纷纷被人找到并下载，也就是最近讨论的很热的暴库技术。我和紫幻以及黑客X档案的各位朋友们也对这门技术 进行了研究

[阅读全文]

现在很多网站都是因为数据库源地址被黑客通过某些黑客手段得到，导致数据库文件被黑客下载，面得到控制权， 使网站被黑。所以我研究了一下IIS，想到了一个安全配置IIS使数据库防下载的办法。经过配置后，就算黑客得到了数据库的位置和数据库的文件名，黑客也 没法通过

[阅读全文]

搜狐、163、雅虎等都是众网民经常光顾的大型门户网站，这些网站提供的搜索引擎服务最受大家的青睐。可是 恰恰是这些搜索引擎为黑客大开方便之门，许多黑客可以利用搜索引擎很容易地得到一个网站的数据库，从而得到网站的管理账号和密码，并可以控制到整个网站的 管理权

[阅读全文]

在ASP+MSSQL情况下injection直接得到一个webshell是很平常的事情,但是在ASP+ACCESS下却是一件不可 能完成的任务,因为ACCESS的弱智SQL语句很难让你有所作为.不过,巧妙利用ACCESS程序的一些特性,我们 也可以音接得到一个webshell. -------------------------------------

[阅读全文]

设置ProxyServer和SQLServer实现互联网上的数据库安全： 首先，我们需要了解一下SQLServer在WinSock上定义协议的步骤： 1.在启动菜单上，指向程序/MicrosoftProxyServer，然后点击MicrosoftManagementConsole。 2.展开InternetInformationService,再展开运行ProxyServe

[阅读全文]

随着技术的发展，ASP数据库插马也不是什么新鲜的东东了，相信阁下也玩过这个的吧。呵呵，那你有没有遇到过插入的asp代码被空格拆开的情况呢（即插入的每个字符之间都出现了空格）？现在，就让我们来解决这个问题。 经过对多例实际情况的分析，我发现只要出现代码被空格

[阅读全文]