⑴ 分析sql執行過程中,哪些SQL條件會走索引
這樣回答你,以下幾種情況sql中索引不會被用到
1、查詢謂詞沒有使用索引的主要邊界,換句話說就是select *,可能會導致不走索引。
比如,你查詢的是SELECT * FROM T WHERE Y=XXX;假如你的T表上有一個包含Y值的組合索引,但是優化器會認為需要一行行的掃描會更有效,這個時候,優化器可能會選擇TABLE ACCESS FULL,但是如果換成了SELECT Y FROM T WHERE Y = XXX,優化器會直接去索引中找到Y的值,因為從B樹中就可以找到相應的值。
2、單鍵值的b樹索引列上存在null值,導致COUNT(*)不能走索引。
如果在B樹索引中有一個空值,那麼查詢諸如SELECT COUNT(*) FROM T 的時候,因為HASHSET中不能存儲空值的,所以優化器不會走索引,有兩種方式可以讓索引有效,一種是SELECT COUNT(*) FROM T WHERE XXX IS NOT NULL或者把這個列的屬性改為not null (不能為空)。
3、索引列上有函數運算,導致不走索引
如果在T表上有一個索引Y,但是你的查詢語句是這樣子SELECT * FROM T WHERE FUN(Y) = XXX。這個時候索引也不會被用到,因為你要查詢的列中所有的行都需要被計算一遍,因此,如果要讓這種sql語句的效率提高的話,在這個表上建立一個基於函數的索引,比如CREATE INDEX IDX FUNT ON T(FUN(Y));這種方式,等於Oracle會建立一個存儲所有函數計算結果的值,再進行查詢的時候就不需要進行計算了,因為很多函數存在不同返回值,因此必須標明這個函數是有固定返回值的。
4、隱式轉換導致不走索引。
索引不適用於隱式轉換的情況,比如你的SELECT * FROM T WHERE Y = 5 在Y上面有一個索引,但是Y列是VARCHAR2的,那麼Oracle會將上面的5進行一個隱式的轉換,SELECT * FROM T WHERE TO_NUMBER(Y) = 5,這個時候也是有可能用不到索引的。
5、表的資料庫小或者需要選擇大部分數據,不走索引
在Oracle的初始化參數中,有一個參數是一次讀取的數據塊的數目,比如你的表只有幾個數據塊大小,而且可以被Oracle一次性抓取,那麼就沒有使用索引的必要了,因為抓取索引還需要去根據rowid從數據塊中獲取相應的元素值,因此在表特別小的情況下,索引沒有用到是情理當中的事情。
6、cbo優化器下統計信息不準確,導致不走索引
很長時間沒有做表分析,或者重新收集表狀態信息了,在數據字典中,表的統計信息是不準確的,這個情況下,可能會使用錯誤的索引,這個效率可能也是比較低的。
7、!=或者<>(不等於),可能導致不走索引,也可能走 INDEX FAST FULL SCAN
例如select id from test where id<>100
8、表欄位的屬性導致不走索引,字元型的索引列會導致優化器認為需要掃描索引大部分數據且聚簇因子很大,最終導致棄用索引掃描而改用全表掃描方式,
由於字元型和數值型的在insert的時候排序不同,字元類型導致了聚簇因子很大,原因是插入順序與排序順序不同。詳細點說,就是按照數字類型插入(1..3200000),按字元類型('1'...'32000000')t排序,在對字元類型使用大於運算符時,會導致優化器認為需要掃描索引大部分數據且聚簇因子很大,最終導致棄用索引掃描而改用全表掃描方式。
⑵ SQL對測試人員有什麼好處,在那些測試中會用到SQL
謝謝!說到了一滲指些,但是缺握還是不叢扮配大了解,就是我去面試的時候,都會被問到你會不會資料庫,SQL就是資料庫的一種。
⑶ 學SQL有什麼用處,以後從事哪些工作會用到
SQL是資料庫 以後可以維護網站 但是單純學SQL是遠遠不夠的 還要掌握 網站開發語言比如asp html jsp 等等,建議學學與你專業相關的技術知識,這樣比較容易入手,把你自己的特長專業學的更精,以後肯定好找工作的。這只是我的一些小建議,學什麼還要你自己決定。
祝你學業有成。
⑷ 什麼時候會用到動態sql語句,大家能舉個例子
什麼時候會用到動態sql語句
比如一個表的數據結構對應另一個表的數據和列名
⑸ sql server 是什麼軟體,哪方面的工作就會用到這個軟體軟體好用嗎
是微軟出品的資料庫軟體,一般用於資料庫開發、基於sql
server
的應用軟體使用都會用到它,分為伺服器和客戶端兩種。軟體是微軟開發的,目前是主要使用的資料庫軟體之一。
⑹ Sql Server中,在實際工作中,遇到類似於什麼樣的情況大家會使用,請給我說下大家自己的例子
最簡單的比如你想把一個表裡面的數據一條一條的取出來做處理,就可以用游標。既然弊困畢叫游租芹標,那它就像「游標尺鍵」一樣。
⑺ 什麼軟體會用到SQL
..sql是結構化查詢語言.不是軟體..有很多版本.一般都是用標准化的....做資料庫用的..一般有microsoft
的SQL Server.. my sql 等等..還有很多資料庫...
資料庫一般是儲存網站信息和資料的後台..配合動態網頁製作..才能做出比較好的網站..比如配合jsp.asp.. 刀net.. php語言. ejb.j2ee 技術做網站都需要用資料庫..
主要就是進行用戶的信息 增刪改查 4個功能.你注冊的信息就保存在資料庫里..sql就是來進行增刪改查..排序等等一切功能。.的語言 我舉個基本的sql例子是
select * form abc ; where age=8 //從abc表中查詢年齡等於8的用戶信息.. *號代表顯示全部的信息..
很就沒復習了..很多東西都忘了..說的不對..莫見笑!~:)
接受大家批評!~
PS 普通公司職員接觸最多的應該是office里邊的access軟體.它是一款桌面資料庫..功能不能跟大型的相比.但是基本的sql語言還是差不多的.
打的好累..給點分吧..嘿嘿~~謝謝嘍!~~
⑻ SQL語句在什麼情況下使用全表掃描
下面簡單介紹SQL中哪些情況會引起全表掃描。
1、模糊查詢效率很低:
原因:like本身效率就比較低,應該盡量避免查詢條件使用like;對於like
『%...%』(全模糊)這樣的條件,是無法使用索引的,全表掃描自然效率很低;另外,由於匹配演算法的關系,模糊查詢的欄位長度越大,模糊查詢效率越低。
2、查詢條件中含有is
null的select語句執行慢
3
、查詢條件中使用了不等於操作符(<>、!=)的select語句執行慢
原因:SQL中,不等於操作符會限制索引,引起全表掃描,即使比較的欄位上有索引
4、or語句使用不當會引起全表掃描
原因:where子句中比較的兩個條件,一個有索引,一個沒索引,使用or則會引起全表掃描。例如:where
A==1
or
B==2,A上有索引,B上沒索引,則比較B==2時會重新開始全表掃描。
5、組合索引
,排序時應按照組合索引中各列的順序進行排序,即使索引中只有一個列是要排序的,否則排序性能會比較差。
6、Update
語句
,如果只更改1、2個欄位,不要Update全部欄位,否則頻繁調用會引起明顯的性能消耗,同時帶來大量日誌。
7
、對於多張大數據量(
這里幾百條就算大了)的表JOIN,要先分頁再JOIN,否則邏輯讀會很高,性能很差。
參考資料:
http://www.studyofnet.com/news/131.html
希望以上的回答能夠幫助你!
⑼ 資料庫操作中哪種情況會出現SQL注入
所謂SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令
什麼時候最易受到sql注入攻擊
當應用程序使用輸入內容來構造動態sql語句以訪問資料庫時,會發生sql注入攻擊。如果代碼使用存儲過程,而這些存儲過程作為包含未篩選的用戶輸入的字元串來傳遞,也會發生sql注入。sql注入可能導致攻擊者使用應用程序登陸在資料庫中執行命令。相關的SQL注入可以通過測試工具pangolin進行。如果應用程序使用特權過高的帳戶連接到資料庫,這種問題會變得很嚴重。在某些表單中,用戶輸入的內容直接用來構造動態sql命令,或者作為存儲過程的輸入參數,這些表單特別容易受到sql注入的攻擊。而許多網站程序在編寫時,沒有對用戶輸入的合法性進行判斷或者程序中本身的變數處理不當,使應用程序存在安全隱患。這樣,用戶就可以提交一段資料庫查詢的代碼,根據程序返回的結果,獲得一些敏感的信息或者控制整個伺服器,於是sql注入就發生了。
SQL注入的手法相當靈活,在注入的時候會碰到很多意外的情況。能不能根據具體情況進行分析,構造巧妙的SQL語句,從而成功獲取想要的數據,是高手與「菜鳥」的根本區別。
注入大致方法
方法1
先猜表名 And (Select count(*) from 表名)<>0 猜列名 And (Select count(列名) from 表名)<>0 或者也可以這樣 and exists (select * from 表名) and exists (select 列名 from 表名) 返回正確的,那麼寫的表名或列名就是正確 這里要注意的是,exists這個不能應用於猜內容上,例如and exists (select len(user) from admin)>3 這樣是不行的 現在很多人都是喜歡查詢裡面的內容,一旦iis沒有關閉錯誤提示的,那麼就可以利用報錯方法輕松獲得庫裡面的內容 獲得資料庫連接用戶名:;and user>0 這個是小竹提出來的,我這里引用《SQL注入天書》裡面的一段話來講解:
"重點在and user>0,我們知道,user是SQLServer的一個內置變數,它的值是當前連接的用戶名,類型為nvarchar。拿一個 nvarchar的值跟int的數0比較,系統會先試圖將nvarchar的值轉成int型,當然,轉的過程中肯定會出錯,SQLServer的出錯提示是:將nvarchar轉換int異常,XXXX不能轉換成int" 看到這里大家明白了吧,報錯的原理就是利用SQLserver內置的系統表進行轉換查詢,轉換過程會出錯,然後就會顯示出在網頁上,另外還有類似的and 1=(selet top 1 user from admin),這種語句也是可以爆出來的。;and db_name()>0 則是暴資料庫名。 一旦關閉了IIS報錯,那麼還可以用union(聯合查詢)來查內容,主要語句就是 Order by 10 And 1=2 union select 1,2,3,4,5,6,7,8,9,10 from admin And 1=2 union select 1,2,3,user,5,passwd,7,8,9,10 from admin 上面的order by 10主要就是查欄位數目,admin就是表名,可以自己猜,user,passwd是列名 反正就是返回正確即對,返回異常即錯 另外還有十分常用的ascll碼拆半法 先要知道指定列名,例如user里的內容的長度 and (select len(user) from admin)=2 就是查詢長度為不為2位,返回錯誤的增加或減少數字,一般這個數字不會太大,太大的就要放棄了,猜也多餘 後面的邏輯符號可以根據不同要求更改的, >;大於 <;小於 =就是等於咯,更新語句的話,=也可以表示傳遞符號 <>;就是不等 知道了長度後就可以開始猜解了 And (Select top 1 asc(mid(user,n,1)) from admin)>100 n就是猜解的表名的第幾位,最後的長度數字就是剛才猜解出來的列名長度了,And (Select top 1 asc(mid(user,1,1)) from admin)>100 就是猜解user里內容的第一位的ASCLL字元是不是大於100 正確的話,那麼表示USER第一個字元的ASCLL碼大於100,那麼就猜>120,返回錯誤就是介於100-120之間,然後再一步一步的縮少,最終得到正確字元XXX,然後用ASCLL轉換器吧這個轉換成普通字元就可以了 然後就是第二位 And (Select top 1 asc(mid(user,2,1)) from admin)>100 一直猜下去 加在url後面,列名表名還是先猜解,返回正確的代表帳號的ascll碼大於100,那麼就再向前猜,指導報錯,把猜出來的ascll碼拿去ascll轉換器轉換就可以了,中文是負數,加上asb取絕對值 And (Select top 1 asb(asc(mid(user,n,1))) from admin)>15320 得到之後就記得在數字前加-號,不然ASCLL轉換器轉換不來的,中文在ASCLL碼里是-23423這樣的,所以猜起來挺麻煩 這個猜解速度比較慢,但是效果最好,最具有廣泛性
方法2
後台身份驗證繞過漏洞 驗證繞過漏洞就是'or'='or'後台繞過漏洞,利用的就是AND和OR的運算規則,從而造成後台腳本邏輯性錯誤 例如管理員的賬號密碼都是admin,那麼再比如後台的資料庫查詢語句是 user=request("user") passwd=request("passwd") sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&''' 那麼我使用'or 'a'='a來做用戶名密碼的話,那麼查詢就變成了 select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a' 這樣的話,根據運算規則,這里一共有4個查詢語句,那麼查詢結果就是 假or真and假or真,先算and 再算or,最終結果為真,這樣就可以進到後台了 這種漏洞存在必須要有2個條件,第一個:在後台驗證代碼上,賬號密碼的查詢是要同一條查詢語句,也就是類似 sql="select * from admin where username='"&username&'&"passwd='"&passwd&' 如果一旦賬號密碼是分開查詢的,先查帳號,再查密碼,這樣的話就沒有辦法了。 第二就是要看密碼加不加密,一旦被MD5加密或者其他加密方式加密的,那就要看第一種條件有沒有可以,沒有達到第一種條件的話,那就沒有戲了
摘自:http://ke..com/view/3896.htm
⑽ sql 中在什麼情況下使用視圖,有什麼好處
什麼情況下會用到視圖?
比如說一個比較復雜的查詢不想每次都寫很多語句,就可以寫個視圖。下次查詢的時候是需要使用select * from視圖名就可以了。
或者給特定用戶開放某些表的讀取許可權,但要加一些行和列的限制,也可以寫個視圖。
視圖的好處,可以主要分為四點:
第一點: 使用視圖,可以定製用戶數據,聚焦特定的數據。
解釋:
在實際過程中,公司有不同角色的工作人員。
以銷售公司為例:,采購人員,可以需要一些與其有關的數據,而與他無關的數據,對沒有任何意義,我們可以根據這一實際情況,專門為采購人員創建一個視圖,以後他在查詢數據時,只select*fromview_caigou就可以了。
第二點:使用視圖,可以簡化數據操作。
解釋:
在使用查詢時,在很多時候要使用聚合函數,同時還要顯示其它欄位的信息,可能還會需要關聯到其它表,這時寫的語句可能會很長,如果這個動作頻繁發生的話,則可以創建視圖。以後要用的話,只需要select*fromview1就可以了。
第三點:使用視圖,基表中的數據就有了一定的安全性
因為視圖是虛擬的,物理上是不存在的,只是存儲了數據的集合,故可以將基表中重要的欄位信息,可以不通過視圖給用戶,視圖是動態的數據的集合,數據是隨著基表的更新而更新。同時,用戶對視圖,不可以隨意的更改
和刪除,可以保證數據的安全性。
第四點:可以合並分離的數據,創建分區視圖
隨著社會的發展,公司業務量不斷的擴大,一個大公司,下屬都設有很多的分公司,為了管理方便,需要統一表的結構,定期查看各公司業務情況,而分別看各個公司的數據很不方便,沒有很好的可比性,如果將這些數據合並為一個表格里,就方便多了,這時就可以使用union關鍵字,將各分公司的數據合並為一個視圖。