【转】过滤SQL用户登录(SQL2005)

最新推荐文章于 2019-10-10 18:33:32 发布
最新推荐文章于 2019-10-10 18:33:32 发布
阅读量328 收藏 1
点赞数
文章标签: sql null microsoft sql server 数据库服务器 insert

 

注:高危!

有时候,开发人员在应用服务器上,能拿到数据库的帐号和密码
如果想让DBA死掉,太简单了(哈哈哈~~,有人在奸笑~~!)
所以DBA啊,得处处小心。。

(有人说话了:你傻X吧,应用程序服务器怎么能让开发人员随便上?!)

嘿,就是上了,你DBA能咋样?

如果技术上使数据库帐号只能从某个机器(或某个IP地址)用某个应用程序登录,岂不是很爽?
哎,可惜在MS官方没有找到解决方法......

今天在 小怪物(就是传说中的小怪物) 的大力帮助下,从SQL2005中找到一个方法(非官方),能实现类似功能。


免责声明:该脚本没有得到牛X人士的认可,玩大了,跟俺无关~~!


use msdb --我是在msdb里测试的,不建议在系统库里乱搞,后果自负

--1.创建表
CREATE TABLE [dbo].[UserFiltration](
[ID] [int] IDENTITY(1,1) NOT NULL primary key,
[username] [varchar](100) NOT NULL DEFAULT ('*'),
[programname] [varchar](100) NOT NULL DEFAULT ('*'),
[IP] [varchar](100) NOT NULL DEFAULT ('*'),
[hostname] [varchar](100) NOT NULL DEFAULT ('*'),
[Comment] [varchar](1000) NOT NULL DEFAULT (''),
[Ctime] [datetime] NOT NULL DEFAULT (getdate()),
[Utime] [datetime] NULL

)


go
--2.添加规则

insert into UserFiltration(username,programname,ip,hostname)
select '*','*','*',host_name() --本机登录不受限制

go

--3.添加用户读取权限

grant select on UserFiltration to public

go

--4.添加触发器

create TRIGGER [tr_LoginCheck]
ON ALL SERVER
FOR LOGON
AS
set nocount on
if not exists(select 1 from msdb.dbo.UserFiltration
    where suser_name() = case when username = '*' then suser_name() else username end
      and app_name() like case when programname = '*' then app_name() else programname end
      and EVENTDATA().value('(/EVENT_INSTANCE/ClientHost)[1]', 'varchar(128)') = case when IP = '*' then EVENTDATA().value('(/EVENT_INSTANCE/ClientHost)[1]', 'varchar(128)') else IP end
      and host_name() = case when hostname = '*' then host_name() else hostname end
    )

rollback tran

 

--5.新建一个登录

sp_addlogin 'test01','123'

--6.在本机测试,应该能登录成功,成功不了,估计是rpwt
--7.在其他机器用test01登录,应该不成功,如果能成功,估计不仅仅是rpwt了


--8.添加机器访问策略

insert into UserFiltration(username,programname,ip,hostname)
select 'test01','%Microsoft SQL Server%','192.168.2.205','info2003' --info2003另外的测试机器


--9.在info2003 上用test01登录一下试试看


--10.实验做完,老师说要把垃圾搞干净。。。。。
--清除测试对象
--断开test01的链接

sp_droplogin 'test01'
go
drop TRIGGER [tr_LoginCheck] on all server
go
drop table msdb..[UserFiltration]

 

--课外作业(请勿随便执行,仅供"业内"人士搞恶、消遣!)
--如果看谁不顺眼,半夜爬到他的数据库服务器(SQL2005)上,执行一下这个
--然后有多快跑多快~~祝你好运!@

/*
create TRIGGER [tr_LoginCheck]
ON ALL SERVER
FOR LOGON
AS
rollback tran
*/

wpc820411
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL Server 过滤数据
m0_67879025的博客
04-07 858
1.Select Distinct 一个列可能会包含多个重复值,有时您也许希望仅仅列出不同的值。Distinct 关键字用于返回唯一不同的值。换句话说,它从结果集中删除列中的重复值。Distinct 将所有Null值视为相同的值。 语法: Select Distinct * From table_name 2.Where Where子句用于过滤记录,提取那些满足指定条件的记录。 语法: Select * From table_name Where Se...
SQL Server过滤数据(三)
weixin_57772001的博客
04-28 310
6. Between查找具有两个值之间的值的行 BETWEEN 运算符是一个逻辑运算符,用于指定要测试值的范围。 以下是 BETWEEN 运算符的语法: 可以使用大于或等于( >= )且小于或等于( <= )来替换 BETWEEN 运算符,如下所示 使用 BETWEEN 运算符的条件比使用比较运算符 >= , <= 和逻辑运算符AND的条件更具可读性。 要取消 BETWEEN 运算符的结果,请使用 NOT BETWEEN 运算符,如下所示: ...
由于执行触发器,登录名 'sa' 的登录失败
08-14 898
使用触发器限制数据库连接IP 如: USE master GO if exists (select * from sysobjects where name = 'tr_LoginCheck' and type='TR') drop trigger dbo.tr_LoginCheck GO CREATE TRIGGER tr_LoginCheck ON ALL SERVER ...
登录触发器实现SQL Server 限制IP登录
Hehuyi_In的博客
10-10 3265
一、 背景   MySQL由 usename+host 构成用户,在SQL Server没有这样的机制,那SQL Server如何实现类似的安全控制的功能呢? 本文将介绍5种运用登录触发器实现安全控制的场景: 限制某登录名(比如sa)只能在本机或者指定的IP中登录; 限制服务器角色(比如sysadmin)只能在本机或者指定的IP中登录; 限制某登录名(比如sa)只能某时间段内登录; 限...
SQL Server如何限制IP登陆:登陆触发器的运用(4)
lnc2003的专栏
01-21 935
(五) 对上面的再延伸一点,如果想类似Host like 192.168.1.* 这样进行范围的过滤,那这又应该怎么实现呢? 可以使用CLR扩展函数对IP进行判断,后面会讲到这种方式。这里使用SQL就能解决的方法,仅供参考。开放登录名nightworker在内网所有IP:192.168.1.* 访问本机的权限。 查看本栏目更多精彩内容:http://www.bianceng.cn/databa
GridView的过滤条件成各个数据库Sql条件语句Demo
11-06
关于DevExpress的GridView的过滤条件如何成相应的语句,dev官网提供了相应的处理方法,方便开发人员调用,目前支持数据库语句有MS Sql 、Oracle 、Access,资源用到的Dev版本是18.1,为了保证能运行,相关程序集...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
C#实现过滤sql特殊字符的方法集合
09-03
在C#中,防止SQL注入攻击的一个重要方法是过滤SQL特殊字符。SQL注入是一种常见的网络安全威胁,通过在用户输入的数据中插入恶意SQL语句,攻击者可以操纵数据库,获取、修改或删除敏感信息。以下是一些C#中过滤SQL...
一个过滤重复数据的 SQL 语句
09-11
过滤重复数据的 SQL 语句 在关系数据库管理系统中,经常会遇到重复数据的问题,而过滤重复数据是数据处理和分析的重要步骤。本文将介绍如何使用 SQL 语句来过滤重复数据,并讨论相关的知识点。 一、数据重复的原因...
php登录页面实现-SQL注入
最新发布
03-07
当用户输入的数据未经验证或过滤直接拼接到SQL查询中时,攻击者可以通过构造特定的输入来改变查询的含义,获取敏感数据或执行非法操作。 3. 如何防止SQL注入: - 使用参数化查询:无论是`mysqli_prepare()`结合`...
Sqlserver——日常维护——Login Trigger (登录触发器的使用)
qq_40205468的博客
09-06 1790
简单的几种登录触发器的用法 1.限制登录时间 登录触发器 /* 1.限制登录触发器: 示例效果-->限制 登录名 TestUser 不能在每天的 10:00:00-12:00:00 登录数据库 */ IF EXISTS ( SELECT * FROM sys.server_triggers WHERE name = N'Login_In_TimeSolt' ) BEGIN ...
SQL2008禁止某些IP访问, 记录外网访问的触发器处理机制
FlameXu的专栏
04-28 1524
USE [master] GO --禁止访问的IP CREATE TABLE [dbo].[ForbiddenIP]( [IP] [nvarchar](15) NOT NULL, [说明] [nvarchar](50) NULL, [设定时间] [datetime] NULL,  CONSTRAINT [PK_ForbiddenIP] PRIMARY KEY CLUSTERED
仅允许指定的机器连接SQL Server服务器
pridescc的专栏
12-30 863
<br />问题:希望仅仅允许某个指定IP的计算机连接到SQL Server服务器,但不允许其他的客户端进行连接。 <br />   解决方法如下: <br />   你可以直接在防火墙中做限制,只允许与指定的IP地址建立1433的通讯。(注:从安全的角度来考虑,应该把1433端口改成其他的端口。) <br />   其他的解决方法: <br />   一、限从指定IP接入的客户端: <br />   如果使用SQL Server 2005,还可以通过端点限制的方法来实现,此方法要求一块专门的网卡
过滤器 去除sql注入语句
zgh670042085的博客
04-02 354
  package com.spider.reader.common.filter; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.Fil...
使用DAC登录数据库,执行操作命令
weixin_30642029的博客
07-10 265
首先说明事件缘由,为了安全,我把sa用户设置为禁用,又因为我想在数据库服务器上控制,只允许固定IP地址连接访问,所以建立了一个触发器,如下:USE master GO CREATE TRIGGER tr_LoginCheck ON ALL SERVER FOR LOGON AS IF EVENTDATA().value('(/EVENT_INSTANCE/ClientHost...
sqlserver2008r2数据库使用触发器对sa及其他数据库账号访问进行IP限制
weixin_34128839的博客
06-03 228
一、只允许指定IP访问数据库 创建测试账号 CREATE LOGIN testuser WITH PASSWORD = '123' GO CREATE TRIGGER [tr_connection_limit] ON ALL SERVER WITH EXECUTE AS 'sa' FOR LOGON AS BEGIN --限制test这个帐号的连接 ...
SQL入门经典: Beginning SQL 2005解析
" Beginning SQL 2005 是一本由 Paul Wilton 和 John W. Colby 合著的经典SQL教程,适合初学者入门。书中通过深入浅出的方式讲解SQL语句,并辅以生动易懂的例子,使得学习过程更为轻松。" 在SQL的世界中,无论你是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值