Anti drop DB, drop table, delete data hiệu quả 95%

[xom1b]

Thấy mấy bạn cứ bàn về bị drop, mình không hiểu sao nếu như web được anti injection nhỉ, vì drop qua game thì khá khó vì những sv của WZ đâu có bị drop. Lâu ko vào diễn đàn thôi thì góp gió thành bão vậy, đồng thời chia sẻ 1 ít kiến thức còm về security SQL

Trước hết chạy trigger của bạn GateBol share (ko rõ ai là tác giả )

Code:

Create trigger [dbo].[Character_DeleteAll]
On [dbo].[Character]
For Delete As
Begin
if (select count(*) from deleted) > 1
  begin 
    rollback transaction 
  end
End

Tiếp theo =>

Demo trong SQL 2005 config như sau (Ko có SQL 2000 để demo nhưng mò là có vì cái này là security cơ bản, không thể ko có )

Đăng nhập SQL với user là sa hoặc vào với mode Windows Authentication
-Tạo 1 user, click chuột phải vào Logins -> new login
Login Name: tên của user ->tùy bạn (ở đây mình đặt là test)
Config như trong hình, điền password, nhớ bỏ ko chọn ô User must change password at next login (chọn thì chỉ đăng nhập đc 1 lần thôi, lần sau phải đổi pass)

[Only registered and activated users can see links. ]

Uploaded with [Only registered and activated users can see links. ]

- Chuyển sang tab Server Roles chọn như trong hình:

[Only registered and activated users can see links. ]

Uploaded with [Only registered and activated users can see links. ]

-Sang tab User Mapping chọn như trong hình rồi OK:
Chú ý: nếu bạn có cả DB khác như Event hay Ranking hoặc SCFMuTeam thì tích chọn vào chúng luôn nhé

[Only registered and activated users can see links. ]

Uploaded with [Only registered and activated users can see links. ]

Sau đó config server với web của bạn, thay user sa thành tên user bạn vừa tạo, cả pass điền cho đúng nhé

Kết quả test khi login với user "test":

Không thể acccess vào DB nào khác trong SQL của bạn :

[Only registered and activated users can see links. ]

Uploaded with [Only registered and activated users can see links. ]

Và đây là kết quả drop db:

[Only registered and activated users can see links. ]

Uploaded with [Only registered and activated users can see links. ]

Nhưng vẫn có thể insert đc và select dữ liệu được: (Nhu cầu thiết yếu phải có )

[Only registered and activated users can see links. ]

Uploaded with [Only registered and activated users can see links. ]

Và lại không thể drop table được:

[Only registered and activated users can see links. ]

Uploaded with [Only registered and activated users can see links. ]

Còn sơ suất ở đâu các bạn góp ý

P/s: các bạn cần sửa thêm ODBC sử dụng user này để connect SQL như sau

vào Control Panel -> Administrator tools -> Datasource (ODBC), chuyển sang tab System DNS, sửa từng cái bằng cách chọn nó rồi bấm vào Configure, rồi cứ next, đến bước như trong hình thì chọn như trong hình :
(Win 64 bit thì ở thư mục Wow64 trong C:\Windows, các bạn ấn ctrl + F xong gõ odbc vào, thấy file odbc gì gì xong .exe thì chính là nó, sr vì ko dùng win 64 bit)

[Only registered and activated users can see links. ]

Uploaded with [Only registered and activated users can see links. ]

Login ID: cái user bạn tạo ở SQL như trên
Password: là cái pass của user đó

sau đó cứ next rồi OK thôi

đảm bảo để có thể sử dụng user này 100% trên server vì 1 số tác vụ trên server có thể dùng ODBC để connect với mode Windows Authentication (Mức toàn quyền)

update

UPDATE !

Nếu các bạn làm ODBC theo xom1b, có thể làm các bước tiếp theo sau để user có quyền dùng produce EXE.

Bước 1, chọn Produce cần xử.

[Only registered and activated users can see links. ]



Bước 2, check EXE vào user đang dùng.

[Only registered and activated users can see links. ]

[SnowBlood™]

póc tem :d thank 4 share nhé

p/s: mà sao ko onl yahoo nhỉ tui add yahoo cau2.0nljne_1102 mà ko thấy reply

[xom1b]

póc tem :d thank 4 share nhé

p/s: mà sao ko onl yahoo nhỉ tui add yahoo cau2.0nljne_1102 mà ko thấy reply

Hic, vừa ở đám cưới về lúc 5h sáng , tính viết xong bài này đi ngủ để tí có sức ăn cỗ đây

[godhoang]

anh xóm trở lại thì vô đối
tks anh
nhưng mà anh chỉ trên sql 2k đi

[xom1b]

Mod nào sửa dùm cái title thành "Anti drop DB, drop table, delete data hiệu quả 95% " đc ko. Hic, buồn ngủ viết lung tung cả

[xom1b]

anh xóm trở lại thì vô đối
tks anh
nhưng mà anh chỉ trên sql 2k đi

SQL 2k thì OL đi, buzz nick nhé, a qua thử xem thế nào xong tẹo còn đi đám cưới ông a nữa

[godhoang]

anh xóm trở lại thì vô đối
tks anh
nhưng mà anh chỉ trên sql 2k đi

[GateBol]

Vậy lệnh delete thì sao vì giờ toàn là delete lại có vụ này để làm crash DataServer và khiến mất nhân vật và thùng đồ (trong db không mất)

Log data Server :

Delete from character where accounid='xxx' and Name=''kill 6--'

[xom1b]

Vậy lệnh delete thì sao vì giờ toàn là delete lại có vụ này để làm crash DataServer và khiến mất nhân vật và thùng đồ (trong db không mất)

Log data Server :

Delete from character where accounid='xxx' and Name=''kill 6--'

thế nên mình mới nói nó 95% thôi vì cái DS SCF này ko check lỗi injection. Lỗi này fixxed bởi Wz rất lâu rồi, cách chống hiệu quả 100% là recode DS

[[VP]Production]

GOD Hoang cho xin yahoo hỏi cái này 1 chút @@