加密與SQL注入

sql server上的加密

sql server上內建了加密用來保護各種型別的敏感資料。在很多時候，這個加密對於你來說是完全透明的；當資料被儲存時候被加密，它們被使用的時候就會自動加密。在其他的情況下，你可以選擇資料是否要被加密。sql server可以加密下列這些元件：

·密碼·儲存過程，檢視，觸發器，使用者自定義函式，預設值，和規則。

·在伺服器和使用者之間傳輸的資料

密碼加密

sql server自動將你分配給登陸和應用角色的密碼加密。儘管當你可以從主中直接察看系統**而不需要密碼。你不能給對這種情況作出任何修改，事實上，你根本不能破壞它。

定義加密

在有些時候，如果對物件進行加密是防止將一些資訊分享給他人。例如，乙個儲存程序可能包含所有者的商業資訊，但是這個資訊不能和讓其他的人看到，即使他們公開的系統**並可以看到物件的定義。這就是為什麼sql server允許你在建立乙個物件的時候進行加密。為了加密乙個儲存程序，使用下面形式的creat procedure 語句：

create procedure procedurename [;number]

[@parameter datatype

[varying][ = defaultvalue][output]]

[, …]

[with recompile | encryption | recompile, encryption]

我們關心的僅僅是可選的with引數。你可以詳細說明arecompile或者encryption，或者你可以同時說明它們。encryption關鍵字保護sql server它不被公開在程序中。結果，如果encryption在啟用的時候系統儲存程序sp_helptext就會被忽視,這個儲存程序將被儲存在使用者建立程序的文字中。如果你不想要加密，你可以使用alter procedure，忽略with encryption子句來重新建立乙個程序。

為了能夠使用加密。使用者和伺服器都應該使用tcp/ip networklibraries用來連線。執行適當的network utility和檢查force protocol encryption，看下表，使用者和伺服器之間的連線將不會被加密。

加密也不能完全自由。當連線確定後，要繼續其他的構造，並且使用者和伺服器必須執行**來解釋加密和解釋的包裹。這裡將需要一些開銷並且當在編譯碼的時候會使程序慢下來。如果網路包裹在你控制範圍之外，使用這種做法是非常好的。

加密中缺少什麼？

你可以注意到在這個列表中缺少一些被加密的東西：你**中的資料。在你儲存資料之前，sqlserver不會提供任何內建的工具來加密你的資料。如果你需要保護儲存在sqlserver上的資料，我們給你兩條建議：第一，你可以利用grant和deny關鍵字來控制你想哪個使用者可以在sqlserver中讀取的資料。

第二．如果你真的想對資料加密，不要設法加密碼。你可以利用被測試過的商業產品的演算法。

sql注入攻擊

sql注入攻擊是乙個常規性的攻擊，它可以允許一些不法使用者檢索你的資料，改變伺服器的設定，或者在你不小心的時候黑掉你的伺服器。sql

注入攻擊不是sqlserver問題，而是不適當的程式。如果你想要執行這些程式的話，你必須明白這冒著一定的風險。

測點定位弱點

sql注入的脆弱點發生在程式開發員構造乙個where子句伴隨著使用者的輸入的時候。比如，乙個簡單的程式允許使用者輸入乙個顧客的id然後檢索公司的全部人員的名字，如果顧客id如果作為asp頁面的請求串的一部分返回，那麼開發員可以編寫下面的**獲得資料：1

加密與SQL注入

SQL Server加密與SQL注入

PHP與SQL注入

PHP與SQL注入

加密與SQL注入

SQL Server加密與SQL注入

PHP與SQL注入

PHP與SQL注入

相關推薦