程序代码列表 6：利用 ADODB 的 Command 对象来存取预存程序。

如程序代码列表 6 中灰色的程序代码区块，将存取 SQL Server 预存程序的方式改以透过 ADODB 的 Command 对象，如此骇客就不能用加入自订 SQL 的语法来要求 SQL Server 执行额外的动作。

• 改掉预设的 Web 虚拟路径，不要使用 IIS 装好后预设的 <系统所在磁盘>\Inetpub\WWWRoot 路径，否则利用前述的档案存取方式，很容易在该目录下动手脚。
• 不要显示错误讯息到前端。
  利用 VBScript 语法的 On Error Resume Next，并搭配 If Err.Number<>0 Then 的错误处理方式，自行将错误重导到适当的错误处理网页，如此系统将更稳固，且骇客也不易透过错误讯息来探知系统的内部运作方式。
  或着，也可以修改<系统所在磁盘>\WINNT\Help\iisHelp\common\500-100.asp 预设网页，最简单的方式就是将它更改名字³。
•  将用不到但功能强大的延伸预存程序删除。
•  监控系统的执行。
•  防火墙关闭 TCP 1433/UDP 1434 埠(port)对外的联机

   << 上一页  [11] [12] [13] [14] [15] [16] [17]  下一页