Πρώτα Βήματα - Βάσεις δεδομένων

Απ: Ερώτημα σχετικά με DOS COMMANDS μέσω Sql Server 2005

Αλέξανδρος Δημητρίου — Fri, 16 Nov 2007 06:56:07 GMT

Ας πούμε ότι μέσα σε ένα φάκελο έχω 100 st.procedures και triggers αποθηκευμένες σε τχτ μορφή.

Έχω φτιάξει ένα batch file όπου με osql τρέχω όλα αυτά τα αρχεία.

Ας πούμε ότι θέλω μέσω μιας store procedure να τρέξω αυτό τα batchaki

Απίστευτο σενάριο ε?

Αστειέυομαι!Απλα πληροφοριακά ήθελα να μάθω τη χρήση του.Έχεις δίκιο.Ειναι σχεδόν απίθανο να χρειαστεί να τρέξουν DOS COMMANDS μέσω sql.Μπορείς απλές διαδικασίες όπως copy remove delete file etc να τα κάνεις μέσω της εφαρμογής σου.

Εαν μπορείς να πετάξεις καμια πληροφορία για τα assemblies σε ελληνικά θα σου ήμουν υπώχρεος.

Φίλε Παναγιώτη εάν είδες το θέμα μου σχετικά με συντόμευση εφαρμογής θα διάβασες οτι μόλις τελείωσα την εφαρμογή που τόσο καιρό έφτιαχνα και θα ήθελα να σε ευχαριστήσω για την πολύτιμη βοηθειά σου καθ'όλη τη διαρκεια της δημιουργίας της καθώς και όλα τα παιδιά που απλόχερα μου πρόσφεραν ως χέρι βοήθειας τις γνώσεις τους.Αυτό ήταν το ευχάριστο.Το δυσσάρεστο είναι οτι ξεκινάω νέα εφαρμογή..... :-)

Ο,τι χρειαστεις μη διστάσεις ,

Φιλικά Αλέξανδρος

Απ: Ερώτημα σχετικά με DOS COMMANDS μέσω Sql Server 2005

Παναγιώτης Καναβός — Fri, 16 Nov 2007 05:47:46 GMT

Γιατί θέλεις να εκτελέσεις εντολές DOS? Ποιές εντολές? Τί προσπαθείς να κάνεις? Μήπως αυτό που θέλεις να κάνεις γίνεται πολύ ευκολότερα με άλλους τρόπους?

Απ: Ερώτημα σχετικά με DOS COMMANDS μέσω Sql Server 2005

Αλέξανδρος Δημητρίου — Fri, 16 Nov 2007 05:39:09 GMT

Πως μπορώ δηλαδή να υλοποιήσω κάποιες εντολές του DOS χρησιμοποιώντας assemblies?

Θα πρέπει πρώτα να φτιάξω κάποιο dll αρχείο?

Υπάρχουν κάπου αναλυτικές πληροφορίες για τα assemblies?

Απ: Ερώτημα σχετικά με DOS COMMANDS μέσω Sql Server 2005

Παναγιώτης Καναβός — Fri, 16 Nov 2007 05:14:43 GMT

Μπορείς, με την εντολή xp_cmdshell, αλλά είναι πολύ κακή ιδέα. Ο λόγος είναι ότι η xp_cmdshell είναι απενεργοποιημένη by default για λόγους ασφάλειας, καθώς με αυτή μπορείς να εκτελέσεις σχεδόν οποιαδήποτε εντολή και πρόγραμμα. Η εντολή αυτή είναι μία από τις πρώτες εντολές που θα προσπαθήσουν να εκτελέσουν hackers σε μία επίθεση με SQL Injection. Ο λόγος είναι ότι δεν υπάρχει ουσιαστικός τρόπος να περιορίσεις τί μπορεί να κάνει αυτή η εντολή. Εξάλλου, είναι σχεδόν περιττή στον SQL 2005.

Μπορείς να κάνεις οτιδήποτε θα έκανες με αυτή, ίσως και ευκολότερα, χρησιμοποιώντας managed κώδικα. Πρώτον, μπορείς να γράψεις ακριβώς τον κώδικα που θέλεις αποφεύγοντας τους περιορισμούς του cmd. Δεύτερον, μπορείς να ορίσεις ακριβώς ποιά permissions χρειάζεται το assembly που θα φτιάξεις, επιτρέποντας του π.χ. να τροποποιεί ένα μόνο folder. Έτσι μπορείς να είσαι σίγουρος ότι ακόμα και αν κάποιος hacker καταφέρει να μπει στη βάση σου, δεν θα μπορέσει να προχωρήσει και στο ίδιο το λειτουργικό.

Θα πρέπει επίσης να έχεις υπόψη ότι οι administrators τόσο των πελατών όσο και των ISPs δεν βλέπουν με καθόλου καλό μάτι τη χρήση του xp_cmdshell. Αν φτιάξεις κάποια εφαρμογή ή site που απαιτεί την xp_cmdshell μπορεί να ανακαλύψεις ότι οι πελάτες ή τα hosting sites δεν θα την δεχτούν.

Ερώτημα σχετικά με DOS COMMANDS μέσω Sql Server 2005

Αλέξανδρος Δημητρίου — Fri, 16 Nov 2007 03:20:24 GMT

Παιδιά καλησπέρα!

Πήρε το αυτί μου ότι μέσω sql μπορώ να εκτελέσω εντολές DOS όπως:(del,copy,rename,zip κλπ)

Ισχύει κάτι τέτοιο και αν ισχύει πως υλοποιείται?

2)Μπορώ με κάποιο τρόπο μέσω query να πάρω το όνομα της εφαρμογής από την οποία εκτελείται το query?