◎科目：程式開發安全

培養資料庫保全的正確觀念與技巧是開發一個安全的資訊系統的基礎，在這一期的IT基測題目中，我們將提出5個和資料庫安全有關的題目，探討資料庫保全的正確做法。 

• 第一題答案

正確答案：Ｂ

說明：
禁止來賓帳號登入SQL Server資料庫是做好資料庫保全的重要做法之一，禁止來賓帳號登入SQL Server資料庫可以強制所有的資料庫使用者必須擁有合法的登入帳號才能夠執行登入資料庫的動作。

• 第二題答案

正確答案：Ｄ

說明：
資料庫使用者必須具有系統管理員的身分才能夠執行xp_cmdshell命令，因xp_cmdshell命令能夠執行外部的工具和命令，易被惡意人士利用來遂行攻擊的行動。欲防範惡意人士利用xp_cmdshell命令來遂行攻擊的行動，資訊系統可以禁止使用者以系統管理員身分登入資料庫系統，或是禁用xp_cmdshell命令。SQL Server 2005資料庫管理系統安裝後預設會禁用xp_cmdshell命令，除非必要，盡量不要使用SQL Server 2005提供的[SQL Server 2005介面區組態]工具啟用xp_cmdshell命令。

• 第三題答案

正確答案：Ａ

說明：
強制用戶端必須透過SSL連結連上XML Web Service可以確保用戶端和SQL Server 2005發佈的XML Web Service之間資料交換的安全，需要在用戶端和SQL Server 2005之間傳遞機密資料，例如帳號與密碼 ，或是信用卡資料的場合最好要求必須透過SSL連線到SQL Server 2005伺服器。

• 第四題答案

正確答案：Ｃ

說明：
限制使用者必須利用Windows帳號登入SQL Server 2005發佈的XML Web Service能夠確保使用者身分資訊不會以純文字的方式透過網路傳送，可以確保使用者身分資料的安全。

• 第五題答案

正確答案：Ａ

說明：
命令SQL Server信賴資料庫中所有的內容表示要信賴存放在SQL Server資料庫中的資料或程序。SQL Server 2005資料庫伺服器預設會關閉TRUSTWORTHY設定，沒有必要，盡量不要開啟TRUSTWORTHY設定，避免以EXTERNAL_ACCESS或UNSAFE權限的組件，或是以EXECUTE AS指令提升執行權限的模組有機會進行惡意的攻擊。

◎科目：資料庫

• 第六題答案

  正確答案：Ａ、Ｂ

說明：
資料表與預存程序可以建立暫存物件。

• 第七題答案

  正確答案：Ｃ、Ｂ

說明：
暫存資料表主要是使用#或##開頭的識別字。

• 第八題答案

  正確答案：Ｂ

說明：
因為資料表變數，不可以建立索引。

• 第九題答案

  正確答案：Ａ

  說明：
  SQL Server 2005支援DML陳述式搭配OUTPUT直接輸出影響資料集。
  

• 第十題答案

  正確答案：Ｂ

  說明：
  可以使用@@FETCH_STATUS=0判斷已經找到資料列。
  

Copyright© FLAG INFORMATION CO., LTD. 旗訊科技(股)公司. All rights reserved. 本站圖文著作權所有 未經授權 不得任意轉載使用