SQL概述及在网络安全中的应用_数据库安全

4.2. 编写安全的web程序

这里同样有很少的特殊的sql注入规则。First, prepend and append a quote to all user input。

尽管数据使数字。其次，限制网页应用程序的数据库用户在数据库里的权限。不要给这个用户访问所有的存储过程的权利如果这个用户只需要访问一些预定义的。

这部分包括了所有在sql注入中有用的系统表，你可以在google上搜索到每一个的表的列的定义

5.1. MS SQL Server

Sysobjects

syscolumns

5.2. MS Access Server

MSysACEs

MSysObjects

MSysQueries

MSysRelationships

5.3. Oracle

SYS.USER_OBJECTS

SYS.TAB SYS.USER_TABLES

SYS.USER_VIEWS SYS.ALL_TABLE

S SYS.USER_TAB_COLUMNS

SYS.USER_CONSTRAINTS SYS.USER_TRIGGERS

SYS.USER_CATALOG