MYSQL编程：提防SQL注进式打击

由于MySQL数据库已经如此普及，对企业来说它无疑是一个更好的选择。打击SQL注进式打击是使用是指使用计划上的毛病，在方针服务器上运转Sql命令和举行其他体例的打击
静态天生Sql命令时没有对用户输出的数据举行考证是Sql注进打击未遂的次要缘故原由。
好比：
假如你的查询语句是select*fromadminwhereusername="&user&"andpassword="&pwd&""
那末，假如我的用户名是：1or1=1
那末，你的查询语句将会酿成：
select*fromadminwhereusername=1or1=1andpassword="&pwd&""
如许你的查询语句就经由过程了，从而就能够进进你的办理界面。
以是提防的时分必要对用户的输出举行反省。出格式一些特别字符，好比单引号，双引号，分号，逗号，冒号，毗连号等举行转换大概过滤。
必要过滤的特别字符及字符串有：
　　netuser
　　xp_cmdshell
　　/add
　　execmaster.dbo.xp_cmdshell
　　netlocalgroupadministrators
　　select
　　count
　　Asc
　　char
　　mid
　　
　　:
　　"
　　insert
　　deletefrom
　　droptable
　　update
　　truncate
　　from
　　%
上面是我写的两种关于办理注进式打击的提防代码，供人人进修参考！
js版的提防SQL注进式打击代码～：
[CODESTART]　　
<scriptlanguage="javascript">
<!--
varurl=location.search;
varre=/^?(.*)(select%20|insert%20|delete%20from%20|count(|drop%20table|update%20truncate%20|asc(|mid(|char(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|"|:|net%20user||%20or%20)(.*)$/gi;
vare=re.test(url);
if(e){
alert("地点中含有不法字符～");
location.href="error.asp";
}
//-->
<script>
[CODEEND]

asp版的提防SQL注进式打击代码～：
[CODESTART]
<%
OnErrorResumeNext
DimstrTemp
IfLCase(Request.ServerVariables("HTTPS"))="off"Then
strTemp="http://"
Else
strTemp="https://"
EndIf
strTemp=strTemp&Request.ServerVariables("SERVER_NAME")
IfRequest.ServerVariables("SERVER_PORT")80ThenstrTemp=strTemp&":"&Request.ServerVariables("SERVER_PORT")
strTemp=strTemp&Request.ServerVariables("URL")
IfTrim(Request.QueryString)""ThenstrTemp=strTemp&"?"&Trim(Request.QueryString)
strTemp=LCase(strTemp)
IfInstr(strTemp,"select%20")orInstr(strTemp,"insert%20")orInstr(strTemp,"delete%20from")orInstr(strTemp,"count(")orInstr(strTemp,"drop%20table")orInstr(strTemp,"update%20")orInstr(strTemp,"truncate%20")orInstr(strTemp,"asc(")orInstr(strTemp,"mid(")orInstr(strTemp,"char(")orInstr(strTemp,"xp_cmdshell")orInstr(strTemp,"exec%20master")orInstr(strTemp,"net%20localgroup%20administrators")orInstr(strTemp,":")orInstr(strTemp,"net%20user")orInstr(strTemp,"")orInstr(strTemp,"%20or%20")then
Response.Write"<scriptlanguage=javascript>"
Response.Write"alert(不法地点！！);"
Response.Write"location.href=error.asp;"
Response.Write"<script>"
EndIf
%>
[CODEEND]
转自：静态网“对于MySQL数据库，无论是在开发方面，还是支持方面，现在有大量强大的MySQL学习教程可以选择。每一个新手开发者可以轻松地使用MySQL数据库进行开发。

学习SQL语言的话如果要学会去做网站就不是很难!但是要做数据库管理的话就有难度了!

这是一个不错的新特性。虽然索引的附加字段没有索引键值效率高，但是相对映射到数据表中效率还是提高了很多。我做过试验，在我的实验环境中会比映射到表中提高30%左右的效率。

比如，MicrosoftSQLServer2008的某一个版本可以满足现在的这个业务的需要，而且价格还比Oracle11g要便宜，那么这一产品就是适合的。

数据库物理框架没有变动undo和redo都放在数据库得transaction中，个人感觉是个败笔。如果说我们在设计数据库的时候考虑分多个数据库，可能能在一定程度上避免I/O效率问题。

发几份SQL课件，以飨阅者

个人感觉没有case直观。而且默认的第三字段（还可能更多）作为groupby字段很容易造成新手的错误。

始终遗憾SQLServer的登陆无法分配CPU/内存占用等指标数。如果你的SQLServer给别人分配了一个只可以读几个表的权限，而这个家伙疯狂的死循环进行连接查询，会给你的系统带来很大的负担。

但换公司用MSSQL2K感觉自己好像根本就不了解MSSQL。什么DTS触发器以前根本没用过。