选择远程破解Oracle的最好账户是SYS，因为此账户永远有效。

一个共享文件夹。将它的NTFS权限设置为sam用户可以修改，共享权限设置为sam用户可以读取，当sam从网络访问这个共享文件夹的时候，他有读取的权限。

用Sqlplus登陆到Oracle数据库，使用slesctusername,passwordformdba_users命令可查看数据库中的用户名和密码明文。

有的Web应用登陆界面允许攻击者暴力猜解口令，在自动工具与字典表的帮助下，可以迅速找到弱密码用户。

在Oracle所有版本在安装的时候都没有提示修改SYS的默认密码。

在SQLServer安装SP3补丁时不需要系统中已经安装了SP1或SP2。

一个登录名只能进入服务器，但是不能让用户访问服务器中的数据库资源。每个登录名的定义存放在msater数据库的syslogins表中。

Oracle的密码哈希值存储在SYS.USER$表中。可以通过像DBAUSERS这类的视图来访问。

Oracle限制了密码由英文字母，数字，#，下划线(_)，美元字符($)构成，密码的最大长度为30字符;并不能以”$”,”#”,”_”或任何数字开头。

几乎所有的关系数据库系统和相应的SQL语言都面临SQL注入的潜在威胁。