當前位置:首頁 » 編程語言 » sql什麼時候檢查
擴展閱讀
webinf下怎麼引入js 2023-08-31 21:54:13
堡壘機怎麼打開web 2023-08-31 21:54:11

sql什麼時候檢查

發布時間: 2023-05-12 02:20:34

sql什麼時候用到嵌套查詢

如果查詢時用到多個表關聯,一種用法是Join多個表,還有一種方式就是用嵌套的方法
Select t1.a
From t1,
t2
Where t1.s=t2.s

Select t1.a
From t1
Where t1.s = (Select t2.s From t2)

⑵ 實際生活中,什麼時候必須用SQL語句進行查詢

SQL語句進行查詢,那就是查詢語仔塌句select,當你需要從表中提取陪枝你所需要的信息的時候就念亂圓必須用SQL語句進行查詢。

⑶ sql中什麼時候用內連接查詢,什麼時候用外連接查詢用起來好像一樣啊!

需要查找兩張表同時存在的數據,使用內連接
需要查找兩張表中一張表存在,另一張表不存在的時候使用左外鏈接 或 右外鏈接

內連接的查詢結果都是滿足連接條件的元組。但有時我們也希望輸出那些不滿足連接條件的元組信息。比如,我們想知道每個學生的選課情況,包括已經選課的學生(這部分學生的學號在學生表中有,在選課表中也有,是滿足連接條件的),也包括沒有選課的學生(這部分學生的學號在學生表中有,但在選課表中沒有,不滿足連接條件),這時就需要使用外連接。外連接是只限制一張表中的數據必須滿足連接條件,而另一張表中的數據可以不滿足連接條件的連接方式。3種外連接:
1)左外連接(LEFTOUTER JOIN)
如果在連接查詢中,連接管子左端的表中所有的元組都列出來,並且能在右端的表中找到匹配的元組,那麼連接成功。如果在右端的表中,沒能找到匹配的元組,那麼對應的元組是空值(NULL)。這時,查詢語句使用關鍵字LEFT OUTERJOIN,也就是說,左外連接的含義是限制連接關鍵字右端的表中的數據必須滿足連接條件,而不關左端的表中的數據是否滿足連接條件,均輸出左端表中的內容。
例如:要查詢所有學生的選課情況,包括已經選課的和還沒有選課的學生,查詢語句為
SELECT學生表.學號,姓名,班級,課程號,成績
FROM學生表LEFT OUTER JOIN選課表ON學生表.學號=選課表.學號
左外連接查詢中左端表中的所有元組的信息都得到了保留。
2)右外連接(RIGHTOUTERJOIN)
右外連接與左外連接類似,只是右端表中的所有元組都列出,限制左端表的數據必須滿足連接條件,而不管右端表中的數據是否滿足連接條件,均輸出表中的內容。
例如:同上例內容,查詢語句為
SELECT學生表.學號,姓名,班級,課程號,成績
FROM學生表RIGHTOUTERJOIN選課表ON學生表.學號=選課表.學號
右外連接查詢中右端表中的所有元組的信息都得到了保留。
3)全外連接(FULL OUTER JOIN)
全外連接查詢的特點是左、右兩端表中的元組都輸出,如果沒能找到匹配的元組,就使用NULL來代替。
例如:同左外連接例子內容,查詢語句為
SELECT學生表.學號,姓名,班級,課程號,成績
FROM學生表FULL OUTER JOIN選課表ON學生表.學號=選課表.學號
全外連接查詢中所有表中的元組信息都得到了保留。

⑷ 什麼是SQL查詢

SQL全稱是「結構化查詢語言(Structured Query Language)」

SQL(STructured Query Language)是一種資料庫查詢和程式設計語言,用於存取資料以及查詢、更新和管理關聯式資料庫系統。

SQL同時也是資料庫文件格式的擴展名。

SQL是高級的非過程化編程語言,允許用戶在高層數據結構上工作。他不要求用戶指定對數據的存放方法,也不需要用戶了解具體的數據存放方式,所以具有完全不同底層結構的不同資料庫系統可以使用相同的SQL語言作為數據輸入與管理的介面。它以記錄集合作為操縱對象,所有SQL語句接受集合作為輸入,返回集合作為輸出,這種集合特性允許一條SQL語句的輸出作為另一條SQL語句的輸入,所以SQL語言可以嵌套,這使他具有極大的靈活性和強大的功能,在多數情況下,在其他語言中需要一大段程序實現的一個單獨事件只需要一個SQL語句就可以達到目的,這也意味著用SQL語言可以寫出非常復雜的語句。

結構化查詢語言(Structured Query Language)最早的是IBM的聖約瑟研究實驗室為其關系資料庫管理系統SYSTEM R開發的一種查詢語言,它的前身是SQUARE語言。SQL語言結構簡潔,功能強大,簡單易學,所以自從IBM公司1981年推出以來,SQL語言,得到了廣泛的應用。如今無論是像Oracle ,Sybase,Informix,SQL server這些大型的資料庫管理系統,還是像Visual Foxporo,PowerBuilder這些微機上常用的資料庫開發系統,都支持SQL語言作為查詢語言。

美國國家標准局(ANSI)與國際標准化組織(ISO)已經制定了 SQL 標准。ANSI 是一個美國工業和商業集團組織,發展美國的商務和通訊標准。ANSI 同時也是 ISO 和 International Electrotechnical Commission(IEC)的成員之一。ANSI 發布與國際標准組織相應的美國標准。1992年,ISO 和 IEC 發布了 SQL 的國際標准,稱為 SQL-92。ANSI 隨之發布的相應標準是 ANSI SQL-92。ANSI SQL-92 有時被稱為 ANSI SQL。盡管不同的關聯式資料庫使用的 SQL 版本有一些差異,但大多數都遵循 ANSI SQL 標准。SQL Server 使用 ANSI SQL-92 的擴展集,稱為 T-SQL,其遵循 ANSI 制定的 SQL-92 標准。

SQL語言包含4個部分:

數據定義(DDL)語言(如CREATE, DROP,ALTER等語句)

數據操縱(DML)語言(INSERT, UPDATE, DELETE語句)

數據查詢語言(SELECT語句)

數據控制語言(如GRANT,REVOKE,COMMIT, ROLLBACK等語句)

SQL 語言包括兩種主要程式設計語言類別的陳述式: 資料定義語言 (DDL)與資料操作語言 (DML)。

⑸ 什麼時候用到sql 分頁查詢

存晌老虧李儲過程宴空升

create proc Pager
(
@starindex int;
@endindex int;
@docpunt bit
)
as
if(docount=1)
select count(*) from table
else
begin
with temptable as(select Row_Number() over (Order by id desc) as Row,* from table)
select * from temptable where Row between @starindex and @endindex
end
go

⑹ SQL在數據檢查中的應用

關於SQL在數據檢查中的應用

結構化查詢語言SQL是工業標准資料庫操作語言,在實踐中得到了廣泛運用,下面是我為大家搜索整理了關於SQL在數據檢查中的應用,歡迎參考閱讀,希望對大家有所幫助。想了解更多相關信息請持續關注我們應屆畢業生培訓網!

矢量地形圖是地圖要素的數字化表示,主要由屬性數據、拓撲數據和元數據三部分組成。屬性數據用於描述地理實體的類別、等級等質量特徵和數量特徵,拓撲數據用於描述地圖上點、線、面狀要素之間關聯、鄰接、包含等空間關系,元數據則包含了數據和信息資源的描述性信息。境外判繪生成的矢量數據是按照地形圖作業規范規定的標准格式;其數據的正確性、完備性、規范性的檢查是十分重要的環節。若能對數據屬性進行分類顯示,即按照某一屬性項(編碼、名稱、編號等)分類和排序,將有共同屬性的地圖目標排列在一起,將會給屬性檢查帶來很大的便利。現有的檢查軟體都會進行屬性項檢查,但是這種檢查方式比較單一,不能自己定義查找方式,且操作比較繁瑣,所以需要尋找一種能對屬性數據進行快速查詢、分析的方法。

一、屬性數據文件記錄格式

屬性數據文件由點記錄、線記錄、面記錄三部分組成。點、線、面記錄各部分都有一個類首記錄和若干中間記錄,以文本方式存儲

作業中使用的式矢量地形圖數據是嚴格按照生產記錄格式組織、存儲的,具有嚴謹規范的數據結構,很自然我們可以利用資料庫來實現屬性數據的查詢分析。

二、操作流程

要實現這一設想,方法有很多,可以利用EXCEL、ACCESS導入分析,也可以編程直接讀取屬性數據文件。筆者採用的方法是將屬性文件讀入MDB資料庫,利用SQL語言進行自定義查詢,並輸出結果的方式。流程圖如下:

按圖幅建立的mdb資料庫中為每個圖層建立一個數據表,用於存儲每層的.屬性數據。數據表的結構(欄位名稱、數據類型、長度等)應按照軍標格式設置,避免出現轉換時數據丟失。利用自編程序將屬性文件中的記錄逐個讀入資料庫,在查詢語句框中輸入SQL語句即可進行數據篩選。通過分類篩選,將同類地物放在一起比較,就可以很輕松的檢查出地物屬性是否存在遺漏和錯誤。若需輸出查詢結果,程序可根據相應的坐標文件生成err文件,以供在freescan中檢查修改。程序利用VB6.0+數據控制項的方式實現,主界面如下:

三、利用SQL實現屬性數據查詢分析

結構化查詢語言SQL是工業標准資料庫操作語言,是一種資料庫查詢和程序設計語言,用於存取數據以及查詢、更新和管理關系資料庫系統,在實踐中得到了廣泛運用。它以記錄集合作為操作對象,所有SQL語句接受集合作為輸入,返回集合作為輸出,這種集合特性允許一條SQL語句的輸出作為另一條SQL語句的輸入,所以SQL語句可以嵌套,這使他具有極大的靈活性和強大的功能。

SQL語言包含4個部分 數據定義語言(如CREATE、DROP、ALTER等語句)、數據操作語言(如INSERT、UPDATE、DELETE語句)、數據查詢語言(如SELECT語句)、數據控制語言(如GRANT、REVOKE、COMMIT、ROLLBACK等語句)。我們最常用到的SQL包括選擇列表、FROM子句和WHERE子句,它們分別說明所查詢列、查詢的表、以及搜索條件等。

通過SQL語句的組合可以實現更多復雜的查詢,實現對數據的分析與篩選。

如進行獨立房與街區名稱指針的掛接SQL語句:

SELECT * FROM 居民地C WHERE (居民地C.注記編號=Any (select 注記編號 from 居民地C where 居民地C.編碼=130204)) and 注記編號<>0 and 編碼=130201;

這是查找街道名未掛指針的SQL語句:

SELECT * FROM 注記R

WHERE 注記R.編碼=280338 and (注記R.注記號 NOT in (select 陸地交通D.注記編號 from 陸地交通D));

通過修改SQL語句就可以非常靈活的實現各種查詢和篩選。為了方便操作,還可以將各種條件的查詢語句存放在一個文本文件中,隨時調用。

本文主要介紹了利用SQL語句在資料庫中對矢量地形圖屬性數據進行分析檢查的一種方法,這種方法在往年的數據入庫中是可行的,且在一定程度上提高了作業效率。在當前進行境外數字判繪過程中,需要我們通過實踐不斷總結和探索新的更有效的作業方法,高質量、高效率圓滿完成任務。

;

⑺ SQL...什麼是資料庫的檢查點(資料庫檢查點的作用)

CKPTisresponsiblefor:

6?1SignalingDBWnatcheckpoints

6?1Updatingdatafileheaderswith

checkpointinformation

6?1Updatingcontrolfileswith

checkpointinformation

:Checkpoint(CKPT)

Tounderstandinstancerecovery,

processes.

Everythreeseconds(ormorefrequently),

.Thisiscalleda

「checkpoint.」

(whichiscalledthe「checkpointposition」).

Intheeventofalogswitch,

headersofdatafiles.

:

6?hatdata

6?.

.

6?

ion,system

changenumber,,informationaboutlogs,andsoon.

ORACLECHECKPOINT的作用

checkpoint是一個數磨猜據庫事件,它將已修改的數據從高速緩存刷新到磁碟,並更新控制文件和數據文件。

我們知道了checkpoint會刷新臟數據,但什麼時候臘或會發生checkpoint呢?以下輪游伍幾種情況會觸發checkpoint。

1.當發生日誌組切換的時候

2.當符合LOG_CHECKPOINT_TIMEOUT,LOG_CHECKPOINT_INTERVAL,fast_start_io_target,fast_start_mttr_target參數設置的時候

3.當運行ALTERSYSTEMSWITCHLOGFILE的時候

4.當運行ALTERSYSTEMCHECKPOINT的時候

5.當運行altertablespaceXXXbeginbackup,endbackup的時候

6.當運行altertablespace,datafileoffline的時候;

你再好好看看文檔吧

⑻ sql中什麼時候用內連接查詢,什麼時候用外連接查詢

舉個例子:

現在需要統計超市每個商品買了多少。

相關的表有兩個:

商品表(商品編號,商品名稱)

銷售表(商品編號,銷售數量,月份)

如果直接下面的語句查詢,就會遺漏沒有銷售過的商品

Select商品名稱,Sum(銷售數量)
From商品表,銷售表
Where商品表.商品編號=銷售表.商品編號

這時就需要使用左外連接或者右外連接

Select商品名稱,isnull(Sum(銷售數量),0)as銷售數量
From商品表LeftJoin銷售表
On商品表.商品編號=銷售表.商品編號
--SQLSERVER代碼

--沒有銷售過的商品,使用Sum(銷售數量)會顯示為null,用isnull將null值轉換成0

⑼ sql檢查約束

alter table test
add constraint recommended check(OnUse=0 or OnUse=1)
ALTER TABLE 表名 ADD CONSTRAINT DF_TABLEName_FieldName DEFAULT 1 FOR 欄位名

⑽ 如何防範SQL注入漏洞及檢測

以下是OMG我為大家收集整理的文章,希望對大家有所幫助。

SQL注入(SQLInjection)漏洞攻擊是目前網上最流行最熱門的黑客腳本攻擊方法之一,那什麼是SQL注入漏洞攻擊呢?它是指黑客利用一些Web應用程序(如:網站、論壇、留言本、文章發布系統等)中某些存在不安全代碼或SQL語句不縝密的頁面,精心構造SQL語句,把非法的SQL語句指令轉譯到系統實際SQL語句中並執行它,以獲取用戶名、口令等敏感信息,從而達到控制主機伺服器的攻擊方法。

1. SQL注入漏洞攻擊原理

1. 1 SQL注入漏洞攻擊實現原理

SQL(Structured Query Language)是一種用來和資料庫交互的語言文本。SQL注入的攻擊原理就是攻擊者通過Web應用程序利用SQL語句或字元串將非法的數據插入到伺服器端資料庫中,獲取資料庫的管理用戶許可權,然後將資料庫管理用戶許可權提升至操作系統管理用戶許可權,控制伺服器操作系統,獲取重要信息及機密文件。

SQL注入漏洞攻擊主要是通過藉助於HDSI、NBSI和Domain等SQL注入漏洞掃描工具掃描出Web頁面中存在的SQL注入漏洞,從而定位SQL注入點,通過執行非法的SQL語句或字元串達到入侵者想要的操作。下面以一段身份驗證的.NET代碼為例,說明一下SQL 注入攻擊的實現方法。

SqlConnectionnwConn = new SqlConnection((string)ConfigurationSettings.AppSettings["DBconnStrings"]); string queryStr = "SELECT userid,userpwd, username,type FROM users where userid='" + Txtusername.Text +"'";

DataSet userSet = new DataSet();

SqlDataAdapter userAdapter = newSqlDataAdapter(queryStr, nwConn);

userAdapter.Fill(userSet, "Users");

Session["UserID"] =Txtusername.Text.ToString();

Session["type"] =type.Text.ToString();

Response.Redirect("/Myweb/admin/login.aspx");

從上面的代碼中可以看出,程序在與資料庫建立連接得到用戶數據之後,直接將username的值通過session傳給login.aspx,沒有進行任何的過濾和處理措施, 直接用來構造SQL 語句, 其危險系數是非常高的, 攻擊者只要根據SQL 語句的編寫規則就可以繞過身份驗證,從而達到入侵的目的。

1. 2 SQL注入漏洞攻擊分析

SQL注入可以說是一種漏洞,也可以說是一種攻擊。當程序中的變數處理不當,沒有對用戶提交的數據類型進行校驗,編寫不安全的代碼,構造非法的SQL語句或字元串,都可能產生這個漏洞。

例如Web系統有一個login頁面,這個login頁面控制著用戶是否有權訪問,要求用戶輸入一個用戶名和口令,連接資料庫的語句為:

“select * from users where username = 'username' andpassword = 'password'”

攻擊者輸入用戶名為aa or 1=1口令為1234 or 1=1之類的內容。我們可以看出實際上攻擊者並不知道真正的用戶名、口令,該內容提交給伺服器之後,伺服器執行攻擊者構造出的SQL命令,但由於攻擊者輸入的內容非常特殊,所以最後得到的SQL命令變成:

“select * from users where username = 'aa' or 1=1 andpassword = '1234' or 1=1”

伺服器執行查詢或存儲過程,將用戶輸入的身份信息和資料庫users表中真實的身份信息進行核對,由於SQL命令實際上已被修改,存在永遠成立的1=1條件,因此已經不能真正驗證用戶身份,所以系統會錯誤地授權攻擊者訪問。

SQL 注入是通過目標伺服器的80埠進行的,是正常的Web訪問,防火牆不會對這種攻擊發出警告或攔截。當Web伺服器以普通用戶的身份訪問資料庫時,利用SQL注入漏洞就可能進行創建、刪除、修改資料庫中所有數據的非法操作。而當資料庫以管理用戶許可權的身份進行登錄時,就可能控制整個資料庫伺服器。

SQL注入的方法很多,在以手動方式進行攻擊時需要構造各種各樣的SQL語句,所以一般攻擊者需要豐富的經驗和耐心,才能繞過檢測和處理,提交語句,從而獲得想要的有用信息。這個過程需要花費很多的時間,如果以這種手動方式進行SQL注入漏洞攻擊,許多存在SQL注入漏洞的ASP、JSP、PHP、JAVA等網站就會安全很多了,不是漏洞不存在了,而是手動入侵者需要編程基礎,但現在攻擊者可以利用一些現成的黑客工具來輔助SQL注入漏洞攻擊,加快入侵的速度,使SQL注入變得輕而易舉。

由於SQL注入漏洞攻擊利用的是通用的SQL語法,使得這種攻擊具有廣泛性。理論上說,對於所有基於SQL語言的資料庫管理系統都是有效的,包括MSSQLServer、Oracle、DB2、Sybase和MySQL等。當然,各種系統自身的SQL擴展功能會有所不同,因此最終的攻擊代碼可能不盡相同。

1. 3 SQL注入漏洞攻擊過程

(1)繞過身份驗證

如一個login界面,需要輸入用戶名和口令,然後Post到另一個頁面,進行身份驗證,因此攻擊者只需在用戶名和口令的輸入框中都輸入aa or’1’=’1’的內容,那麼攻擊者就可以通過欺騙的驗證方式而直接進入下一個頁面,並擁有和正常登錄用戶一樣的全部特權。原因是什麼呢? 我們比較一下正常用戶登錄和攻擊者登錄時的兩種SQL語句:

1)正常用戶(如用戶名為admin,口令為1234567) :

SQL= " selectfrom users where username = ’admin’and password= ’1234567’ ";

2)攻擊者(用戶名和口令都為aa or’1’=’1’) :

SQL= " select * from users where username='aa or’1’=’1’'and password = ' aa or’1’=’1’'";

可以看到由and連接的兩個條件都被一個永遠成立的1=1所代替,執行的結果為true,資料庫會認為條件恆成立,會返回一個true,讓攻擊者以合法身份登錄進入下一個頁面。

(2)執行非法操作

如一個查詢頁面select1.asp? id=1,編程人員原本設計意圖是顯示id為1的查詢信息,而攻擊者利用程序中沒有對id內容進行檢查的機制,插入自己的代碼。

從select1.asp中摘錄一段關鍵代碼:

SQL= " select *from photo where photoid= 'id'";

可以看到,id沒有進行任何的處理,直接構成SQL語句並執行,而攻擊者在知道該系統資料庫中表名及欄位名的情況下,利用SQL語句特性(分號是將兩句SQL 語句分開的符號),直接向資料庫Tuser表中添加記錄:

select1.asp? id= 1;Insertinto Tuser (username,password,type) values ('hack','1234567','管理員'),然後攻擊者就可以直接用hack進行登錄了。通過這樣的方法,攻擊者還可以對系統做任何的事情,包括添加、刪除、修改系統資源的操作。

(3)執行系統命令

如果Web主機使用MSSQL資料庫管理系統,那麼攻擊者就可以用到xp_cmdshell這個擴展存儲過程,xp_cmdshell是一個非常有用的擴展存儲過程,用於執行系統命令,比如dir、net等,攻擊者可以根據程序的不同,提交不同的語句:

execmaster.dbo.xp_cmdshell " dir "; exec master.dbo.xp_cmdshell" net user hack 1234567 /add ";

execmaster.dbo.xp_cmdshell " net localgroup administrators hack /add ";

這樣就可以向Web主機系統中成功添加了一個管理員帳戶。

2. SQL注入漏洞攻擊的檢測方式及方法

2. 1檢測方式

SQL注入漏洞攻擊檢測分為入侵前的檢測和入侵後的檢測。入侵前的檢測,可以通過手工方式,也可以使用SQL注入漏洞掃描工具軟體。檢測的目的是為預防SQL注入漏洞攻擊,而對於SQL注入漏洞攻擊後的檢測,主要是針對審計日誌的查看,SQL注入漏洞攻擊成功後,會在Web Service和資料庫的審計日誌中留下“痕跡”。

2. 2檢測方法

(1)動態SQL檢查

動態的SQL語句是一個進行資料庫查詢的強大的工具,但把它和用戶輸入混合在一起就使SQL注入成為了可能。將動態的SQL語句替換成預編譯的SQL或者存儲過程對大多數應用程序是可行的。預編譯的SQL或者存儲過程可以將用戶的輸入作為參數而不是命令來執行,這樣就限制了入侵者的行動。當然,它不適用於存儲過程中利用用戶輸入來生成SQL命令的情況。在這種情況下,用戶輸入的SQL命令仍可能得到執行,資料庫仍然存在SQL注入漏洞攻擊的危險。

(2)有效性校驗

如果一個輸入框只可能包括數字,那麼要通過驗證確保用戶輸入的都是數字。如果可以接受字母,檢查是不是存在不可接受的字元,那就需要設置字元串檢查功能。確保應用程序要檢查以下字元:分號、等號、破折號、括弧以及SQL關鍵字。

(3)數據表檢查

使用SQL注入漏洞攻擊工具軟體進行SQL注入漏洞攻擊後,都會在資料庫中生成一些臨時表。通過查看資料庫中最近新建的表的結構和內容,可以判斷是否曾經發生過SQL注入漏洞攻擊。

(4)審計日誌檢查

在Web伺服器中如果啟用了審計日誌功能,則Web Service審計日誌會記錄訪問者的IP地址、訪問時間、訪問文件等信息,SQL注入漏洞攻擊往往會大量訪問某一個頁面文件(存在SQL注入點的動態網頁),審計日誌文件會急劇增加,通過查看審計日誌文件的大小以及審計日誌文件中的內容,可以判斷是否發生過SQL注入漏洞攻擊事件;另外還可以通過查看資料庫審計日誌,查詢某個時間段是否有非法的插入、修改、刪除操作。

(5)其他

SQL注入漏洞攻擊成功後,入侵者往往會添加特權用戶(如:administrator、root、sa等)、開放非法的遠程服務以及安裝木馬後門程序等,可以通過查看用戶帳戶列表、遠程服務開啟情況、系統最近日期產生的一些文件等信息來判斷是否發生過入侵。

3. SQL注入漏洞防範措施

SQL注入漏洞攻擊的防範方法有很多種,現階段總結起來有以下方法:

(1)數據有效性校驗。如果一個輸入框只可能包括數字,那麼要通過校驗確保用戶輸入的都是數字。如果可以接受字母,那就要檢查是不是存在不可接受的字元,最好的方法是增加字元復雜度自動驗證功能。確保應用程序要檢查以下字元:分號、等號、破折號、括弧以及SQL關鍵字。另外限製表單數據輸入和查詢字元串輸入的長度也是一個好方法。如果用戶的登錄名最多隻有10個字元,那麼不要認可表單中輸入10個以上的字元,這將大大增加攻擊者在SQL命令中插入有害代碼的難度。

(2)封裝數據信息。對客戶端提交的數據進行封裝,不要將數據直接存入cookie中,方法就是在編程的代碼中,插入session、if、try、else,這樣可以有效地防止攻擊者獲取cookie中的重要信息。

(3)去除代碼中的敏感信息。將在代碼中存在的用戶名、口令信息等敏感欄位刪除,替換成輸入框。

SQL=" select from users where username = ’admin’and password= ’1234567’ "

如:這樣顯然會暴露管理員的用戶名、口令信息。可以將其修改成:

SQL= " select * from users where username='" +Txtuser.Text + "' and userpwd='" + Textpwd.Text + "'"

這樣就安全了很多,入侵者也是不會輕易的就獲取到用戶名、口令信息。

(4)替換或刪除單引號。使用雙引號替換掉所有用戶輸入的單引號,這個簡單的預防措施將在很大程度上預防SQL注入漏洞攻擊,單引號時常會無法約束插入數據的Value,可能給予輸入者不必要的許可權。用雙引號替換掉單引號可以使大部分SQL注入漏洞攻擊失敗。 如:

“select* from users where username='" + admin + "' and userpwd='" + 1234567+ "'”

顯然會得到與

“select * from users where username='admin' and password= '1234567'”

相同的結果。

(5)指定錯誤返回頁面。攻擊者有時從客戶端嘗試提交有害代碼和攻擊字元串,根據Web Service給出的錯誤提示信息來收集程序及伺服器的信息,從而獲取想得到的資料。應在Web Service中指定一個不包含任何信息的錯誤提示頁面。

(6)限制SQL字元串連接的配置文件。使用SQL變數,因為變數不是可以執行的腳本,即在Web頁面中將連接資料庫的SQL字元串替換成指定的Value,然後將Web.config文件進行加密,拒絕訪問。

(7)設置Web目錄的訪問許可權。將虛擬站點的文件目錄禁止遊客用戶(如:Guest用戶等)訪問,將User用戶許可權修改成只讀許可權,切勿將管理許可權的用戶添加到訪問列表。

(8)最小服務原則。Web伺服器應以最小許可權進行配置,只提供Web服務,這樣可以有效地阻止系統的危險命令,如ftp、cmd、vbscript等。

(9)鑒別信息加密存儲。將保存在資料庫users表中的用戶名、口令信息以密文形式保存,也可以對users表進行加密處理,這樣可以大大增加對鑒別信息訪問的安全級別。

(10)用戶許可權分離。應盡可能的禁止或刪除資料庫中sa許可權用戶的訪問,對不同的資料庫劃分不同的用戶許可權,這樣不同的用戶只能對授權給自己的資料庫執行查詢、插入、更新、刪除操作,就可以防止不同用戶對非授權的資料庫進行訪問。

4. 結束語

SQL注入漏洞攻擊在網上非常普遍,許多ASP、PHP論壇和文章管理系統、下載系統以及新聞系統都存在這個漏洞。造成SQL注入漏洞攻擊的主要原因是開發人員在系統開發的過程中編程不規范,沒有形成良好的編程習慣,問題的解決只有依賴於規范編程。此外,也可以使用現有的SQL注入漏洞掃描器對整個網站中的關鍵代碼進行掃描,查找網站頁面中存在的SQL注入點。對於有問題的頁面,可以及時刪除或更新。本文通過對SQL注入漏洞攻擊的方法、原理以及攻擊實施過程進行了闡述和總結,並給出了一些常見的SQL注入漏洞攻擊防範的方法。