在IIS服务管理器中，进入被设置网站的属性框，点击“主目录”、“配置”、“添加”（上面那个），扩展名自然就输入数据库文件的扩展名了，上面的可执行文件项就随便添一个EXE文件就行了，点“确定”就完成了设置（如图5所示）。

　　由于MSSQL数据库服务是以SYSTEM权限运行的，所以通过MSSQL的注入攻击往往能较容易的取得ADMIN权限，因此对它的设置也是脚本安全防护中的重中之重。

　　首先自然是用户设置。大家都知道“SA”是一个拥有极高权限的用户，所以脚本系统在连接SQL数据库的时候一定不要使用“SA”，我们应该建立一个“database creator”级的新用户，只赋予其对网站数据库的DB_OWNER权限，用它来连接数据库可以很好的保证系统的安全。

小知识：
SQLServer的用户sa是个等同Adminstrators权限的角色，拿到了sa权限，几乎肯定可以拿到主机的 Administrator了。SQL Server的默认用户sa的权限非常巨大，有种观点是sa的权限要大于administrator的权限，也就是说没有限制的sa用户可以做Windows系统管理员所做的任何事。