Один из хакеров, пытавшихся атаковать сайт IIS / SQL Server, использует команду exec для выполнения некоторых SQL-инъекций.
Вот запрос, который он отправил на веб-сайт, который я вижув журналах IIS
/ detailspage.asp? subscriptionID = 7889% 29 + объявить +% 40s + varchar% 284000% 29 + установить +% 40s% 3Dcast% + как + varchar% 284000% 29% 29 +Exec% 28% 40s% 29-- | 733 | 80040E14 | Incorrect_syntax_near_ ')'.80 - 173.212.213.36 Mozilla / 4.0 + (совместимо; + MSIE + 7.0; + Windows + NT + 6.0) - - 500 0 0
Помимо других дел, которые я делаю, яТакже хотелось бы, если возможно, запретить пользователю ms sql доступ к exec.
Так вот мои вопросы
- Это хорошая идея?
- Возможно?если да как, если нет почему?
- Какие еще последствия это имеет?Например, это останавливает что-нибудь еще?
Спасибо.