1、ASP程序连接 SQL Server 的账号不要使用sa,或任何属于Sysadmin组的账号,尽量避免应用服务有过高的权限,应使用一个db_owner权限的一般用户来连接数据库。 2、web应用服务器与DB服务器分别使用不同的机器来存放,并且之间最好通过防火墙来进行逻辑隔离,因为除了有程序在探测 sa 没密码的SQL Server,SQL Server 本身及大量的扩展存储过程也有被溢出攻击的危险。 3、数据库服务器尽量不要与公网进行连接,如果一定要直接提供公网的连接存储,应考虑使用一个非标准端口并限制IP地址来进行连接。 4、SA一定要设成强悍的密码,尤其是SQL Server 2000以前的版本,在默认安装Sql时sa账号没有密码,而一般管理员装完后也忘了或怕麻烦而不更改密码。 5、改掉缺省的Web虚拟路径,不要使用IIS装好后预设的<系统盘>InetpubWWWRoot路径,否则利用前面叙述的另存为方式,很容易在该目录下动手脚。 6、将平时不使用的但功能强大的扩展存储过程删除。 7、使用网络和主机IDS来监控重要系统的运行状况。 8、随时注意是否有新的补丁需要补上,目前SQL2000最新的补本包为SP4。
