MSSQL编程:D99_Tmp被注进的平安成绩
InnoDB数据表的索引,与InnoDB数据表相比,在InnoDB数据表上,索引对InnoDB数据表的重要性要大得多。在InnoDB数据表上,索引不仅会在搜索数据记录时发挥作用,还是数据行级锁定机制的苊、基础。平安|成绩|注进看了一下有D99_CMD、D99_Tmp、D99_REG翻开表一看,分离是
D99_CMD:Dirc:的指令热荩喝
2006/04/0302:15p27,74020067.exe
2004/02/1303:33p<DIR>ASFRoot
D99_Tmp
列出c:的一切文件和文件夹
D99_REG
列出被侵IIS下的一切文件和文件夹
依据创建工夫找到对应的日记,在体系system/logfile下。发明有
XXX.aspid=1558;DROP%20TABLE%20D99_Tmp;CREATE%20TABLE%20D99_Tmp(subdirectory%20nvarchar(256)%20NULL,depth%20tinyint%20NULL,%20bit%20NULL);DELETE%20D99_Tmp;%20Insert%20D99_Tmp%20exec%20master..xp_dirtree%20d:,%201,1;--200Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0)
明显XXX.asp文件有成绩,并且被人注进SQL了,一看是,一名初学的同事写的。
复杂的防备的举措,就是在写asp程序都用如许体例吧:
在写代码id=request("id")
改成id=int(request("id"))
如许id变数字前面的SQL字串就会被扫除
别的将sql="select*fromXXXwhereid="&id
改成sql="select*fromXXXwhereid="&id&""
那末黑客到场的SQL字串,不会被处置实行或实行失利
别的假如有多个参数的话,最好把ID这类数字的,作为最初一个参数。
假如列位有更好的办法的话,请跟贴,与人人交换交换了。因此我们的方案中要构造这种逆操作。Event_type增加一种FLASHBACK_EVENT。这类操作形式与Query_Event相同,都是简单的SQL语句,只是包含了将数据恢复的操作。 可以动态传入参数,省却了动态SQL的拼写。 比如日志传送、比如集群。。。 在select语句中可以使用groupby子句将行划分成较小的组,然后,使用聚组函数返回每一个组的汇总信息,另外,可以使用having子句限制返回的结果集。 两个月啃那本sqlserver2005技术内部-存储引擎,花了几个月啃四本书 如安全管理、备份恢复、性能监控和调优等,SQL只要熟悉基本操作就可以,只要程序设计部分只要稍加了解即可(如存储过程、触发器等)。 一个百万级别的基本信息表A,一个百万级别的详细记录表B,A中有个身份证id,B中也有身份id;先要找出A中在B的详细记录。 如果我们从集合论(关系代数)的角度来看,一张数据库的表就是一组数据元的关系,而每个SQL语句会改变一种或数种关系,从而产生出新的数据元的关系(即产生新的表)。
页:
[1]