本文介绍了如何安装PLSQL Developer 9.0.6,并着重检查了AfterConnect.sql和login.sql,确保无SQL注入风险。强调了数据库管理工具的安全漏洞,特别是脚本可能带来的安全隐患,列举了如SQL*Plus、TOAD和PLSQL Developer等工具的脚本位置,提醒用户注意安全。
执行plsqldev906.exe开始安装为例
执行plsqldev906.exe开始安装。安装目录为:%ORACLE_BASE%\plsqldev,和oracle 11g安装到同一个基目录下面
在安装目录C:\software\Oracle\plsqldev中找到AfterConnect.sql和login.sql
发现:
发现AfterConnect.sql为空文件,没有sql注入的情况。查看login.sql内容(-- AutostartCommand Window script),没有sql注入情况
总结安全漏洞:
几乎绝大多数客户端工具,在访问数据库时,都可以通过脚本进行一定的功能定义,而这些脚本往往就是安全问题的漏洞之一,来历不明的工具是数据库管理大忌,以下列出了常见客户端工具的脚本位置,需要引起注意:
SQL*Plus: glogin.sql / login.sql
TOAD : toad.ini
PLSQLdeveloper:login.sql / afterconnect.sql
**************************************************************
** 欢迎转发,注明[徐长亮的专栏]原文:http://blog.csdn.NET/
最低0.47元/天 解锁文章
扫一扫
1280
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
