应用程序数据库帐号采用最低权限帐号;关闭XP_CmdShell命令,XP_CmdShell可以执行操作系统命令,非常危险;Sql注入防护。不要直接采用拼接Sql方式,要采用存储过程或参数化方式;备注:SqlMap,Sql注射工具,可以查看相关文档;