执行plsqldev906.exe开始安装为例
执行plsqldev906.exe开始安装。安装目录为:%ORACLE_BASE%\plsqldev,和oracle 11g安装到同一个基目录下面
在安装目录C:\software\Oracle\plsqldev中找到AfterConnect.sql和login.sql
发现:
发现AfterConnect.sql为空文件,没有sql注入的情况。查看login.sql内容(-- AutostartCommand Window script),没有sql注入情况
总结安全漏洞:
几乎绝大多数客户端工具,在访问数据库时,都可以通过脚本进行一定的功能定义,而这些脚本往往就是安全问题的漏洞之一,来历不明的工具是数据库管理大忌,以下列出了常见客户端工具的脚本位置,需要引起注意:
SQL*Plus: glogin.sql / login.sql
TOAD : toad.ini
PLSQLdeveloper:login.sql / afterconnect.sql
**************************************************************
** 欢迎转发,注明[徐长亮的专栏]原文:http://blog.csdn.NET/