四、其他获取系统信息

    历遍目录
    exec master.dbo.xp_dirtree 'c:\'

    获取子目录
    exec master.dbo.xp_subdirs 'c:\'
 

    列举可用的系统分区
    exec master.dbo.xp_availablemedia

    判断目录或文件是否存在
    exec master..xp_fileexist 'c:\boot.ini'

    五、防御SQL注入有妙法

    1.对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255（其实也够了，如果还想做得再大点，可以选择备注型），密码的字段也进行相同设置。

    2.对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符，最好大于100个字。

    3.把真正的管理员密码放在ID2后的任何一个位置。

    我们通过上面的三步完成了对数据库的修改。

    这时是不是修改结束了呢？其实不然，要明白你做的ID1账号其实也是真正有权限的账号，现在计算机处理速度那么快，要是遇上个一定要将它算出来的软件，这也是不安全的。我想这时大多数人已经想到了办法，对，只要在管理员登录的页面文件中写入字符限制就行了！就算对方使用这个有上千字符的账号密码也会被挡住的，而真正的密码则可以不受限制。