防止SQL注入的数据库权限管理_禁用XP_CMDSHELL

张开发
2026/4/10 6:30:20 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

防止SQL注入的数据库权限管理_禁用XP_CMDSHELL
不能。禁用xp_cmdshell仅阻断高危后门无法防御主流SQL注入本质需参数化查询最小权限账号输入过滤且权限与代码防线缺一不可。SQL Server 里禁用 xp_cmdshell 能防 SQL 注入吗不能。禁用 xp_cmdshell 只是堵住一个高危后门对绝大多数 SQL 注入攻击毫无作用。SQL 注入的本质是拼接恶意字符串进查询语句只要应用层用了 EXEC、sp_executesql 或直接拼接 WHERE 条件攻击者就能读数据、删表、拖库——根本不需要 xp_cmdshell。真正起作用的是参数化查询 最小权限账号 输入过滤非替代方案。数据库账号该给什么权限才真正降低注入风险核心原则应用账号只拥有它「必须用」的权限且绝不给 db_owner、sysadmin 这类角色。哪怕注入成功攻击者也只能在极窄范围内操作。只授予 SELECT、INSERT、UPDATE、DELETE 到具体表或视图避免 GRANT CONTROL ON DATABASE::xxx禁用 EXECUTE 权限在系统存储过程上特别是 xp_cmdshell、sp_oacreate、sp_addlinkedserver不要用 sa 或 dbo 账号跑应用建专用账号比如 app_readwrite并显式 DENY 不需要的权限如果业务真要动态执行 SQL改用签名存储过程SIGNATURE而不是开放 EXECUTE 权限禁用 xp_cmdshell 的正确姿势和常见翻车点禁用本身很简单但很多人漏掉依赖项或误判影响范围导致后续运维出问题。 通义听悟 阿里云通义听悟是聚焦音视频内容的工作学习AI助手依托大模型帮助用户记录、整理和分析音视频内容体验用大模型做音视频笔记、整理会议记录。

更多文章