如何防止对SQL数据库的黑客攻击？

我有一个

ASP.NET

网站，由

GoDaddy

托管在共享服务器上

每周都有人更改我数据库中的值，并将广告文本添加到我的项目描述中。我曾经更改了数据库的密码，它帮助了我大约一个月。我的连接字符串存储在

web.config

文件中

---

有没有办法提高我数据库的安全性？如果我将连接字符串硬编码在代码中，会有帮助吗？还有其他更好的方法吗？

首先，你需要询问托管人员，这些事情是如何发生的？有时您的FTP详细信息被黑客攻击，然后访问web.config文件。首先，您尝试更改控制面板和FTP密码。（然后使用非常强的密码）。

或者你可以加密连接字符串。检查这个，你可以了解如何加密和解密它

---

很可能是SQL注入。

如果您知道攻击发生的时间，您应该深入数据库服务器日志。例如，

SQL Server

提供审计日志和事务日志。在那里寻找任何线索

无论如何，正如您所说，更改密码可以暂时阻止攻击，在我看来，可能有人可以访问您的配置文件。您可能需要对其进行加密。有一个例子：

---

对于可能的

SQL注入

攻击，您还可以grep您的HTTP日志。这说明了如何做到这一点

你需要了解它是如何被黑客入侵的。可能是SQL注入。如果他们确实可以访问web.config，那么他们可能拥有您的FTP凭据（或go daddy用于允许您上载文件的任何凭据），或者他们正在利用服务器中未修补的漏洞。告诉我们黑客在您的数据库中放了什么广告文本？这可能会导致其他有同样经历的人获得更多关于黑客的信息。我个人在我的托管服务器上的aspx文件中嵌入了链接，NHL Jersey URL只对webcrawlers可见。告诉我的主人似乎很快就解决了这个问题……我使用存储过程。我认为这是防止SQL注入的方法。我错了？@Itay.B-如果您只使用存储过程，而这些存储过程不使用任何动态SQL，那么它就不可能是SQL注入。@MartinSmith，那么我猜TechGuy是对的，有人拿走了我的ftp密码并用它来获取db密码。