MSSQL编程：实行一个平安的SQL Server安装

mysql的prepare其实是本地PHP客户端模拟的，并没有根据你mysql的设置做字符集的调整。应该交与mysqlserver端做prepare，同时得调用mysql_set_character_set去操作，server才会按照字符集去做转义。server|平安|实行搜集和分发数据是收集办理的职责之一，并且必需确保这些数据的正确性和平安性。不论它们是甚么操纵体系，数据库服务器必要特别的办理以包管操纵上的平安性。

优秀的平安性入手下手于安装。如今让我们看一看怎样才干在入手下手的时分就取得SQLServer的平安性。
安装
在入手下手安装之前，先定位到终端路由器大概防火墙，将UDP和TCP端口1433和1434指明为SQLServer的IP地点，这将有助于在安装的时分避免SQLinjection缺点。
请不要在一个域把持器(domaincontroller)上安装SQLServer，一个程序的缺点能够招致危及全部域。在安装程序的转移数据之前，你最幸亏一个具有完整补钉修补以后的操纵体系上安装SQLServer。
SQLServer服务应当运转于自力确当地帐号之下。如许，即便假如有人损坏程序，别的的服务器也能够不受影响。
假如服务器想要为一个基于Windows的收集服务，与服务器的一切毗连都必要Windows认证。这将使得用户不再有需要记着别的毗连的暗码，从而加重了用户的包袱。
服务帐号
在一般情形下，服务帐号非常注重分派给它们的权限。SQLServer利用两种帐号：SQLServerEngine和SQLServerAgent。这两种帐号都作为一个具有惯例帐号权限的域用户而运转。
假如你利用SQLServer认证，而不是利用Windows认证，大概假如你的服务器运转的是ActiveX剧本或CmdExec功课(好比，操纵体系命令大概.bat，.cmd，.com，或.exe的可实行程序)，SQLServerAgent帐号将必要外地Windows办理员权限。
注重：假如你必要改动与SQLServer服务有关的帐号，可使用SQLServer企业办理者(SQLServerEnterpriseManager)。企业办理者将对SQLServer利用的文件和注册表键设置符合的权限。不要利用把持面板上MMC的Servicesapplet来变动这些帐号。
安装以后

经由过程运转微软Killpwd.exe程序，能够扫除在安装过程当中保留在分歧安装文件中的纯文本sysadmin暗码。
当重新服务器中扫除安装文件以后，运转MicrosoftBaselineSecurityAnalyzer(MBSA)。这一工具可以扫描和测试安装中发生的成绩，这些成绩包含：
过量的sysadmin成员都想作为服务器脚色。
分派创建CmdExec功课的权限。
空缺的大概零碎的暗码。
懦弱的认证体例。
分派给办理者组的过量的权限。
运转于域把持器的体系的SQLServer。
每组的分歧适的设置。
SQLServer服务帐号的分歧适的设置。
丧失的服务补钉和平安更新。
最初，请记着反省失利毗连的缘故原由。这是安装中最简单疏忽的选项。你能够经由过程SQLServer企业办理者来完成失利毗连的反省。
请遵守以下的步骤：
1.右击服务器，选择属性(Properties)。
2.在平安(Security)标签，在AuditLevel之下选择Failure。
3.中断和从头启动服务器，以取得反省的入手下手。
最初注重几点
这也只是实行一个平安的SQLServer安装的入手下手。假如你的服务器将从一个大众的Web服务器中会合数据，你应当对设置到Web服务器IP地点的SQL端口举行限定。这些都对数据库服务器十分有优点，但它们都以一个平安的安装为入手下手。

--------------------------------------------------------------------------------
本文作者:MikeMullins作为数据库办理者和助理收集办理者的身份列入了美国特勤局(SecretService)，他是一个美国国防部国防资讯体系局(DefenseInformationSystemsAgency)的收集平安办理者。
mysql的prepare其实是本地PHP客户端模拟的，并没有根据你mysql的设置做字符集的调整。应该交与mysqlserver端做prepare，同时得调用mysql_set_character_set去操作，server才会按照字符集去做转义。

可能有的朋友会抱怨集成的orderby，其实如果使用ranking函数,Orderby是少不了的。如果担心Orderby会影响效率，可以为orderby的字段建立聚集索引，查询计划会忽略orderby操作（因为本来就是排序的嘛）。

财务软件要用SQL也只是后台的数据库而已,软件都是成品的,当然多学东西肯定是有好处的..

多加的系统视图和实时系统信息这些东西对DBA挑优非常有帮助，但是感觉粒度还是不太细。

其实可以做一下类比，Oracle等数据库产品老早就支持了java编程，而且提供了java池参数作为用户配置接口。但是现在有哪些系统大批使用了java存储过程？！连Oracle自己的应用都不用为什么？！

SQL语言是学习所有数据库产品的基础，无论你是做数据库管理还是做数据库开发都是这样。不过具体学习的侧重点要看你将来做哪一块，如果是做数据库管理（DBA），侧重点应该放在SQLServer的系统管理上.

varchar(max)\\\\nvarchar(max)类型的引入大大的提高了编程的效率，可以使用字符串函数对CLOB类型进行操作，这是一个亮点。

光写几个SQL实在叫无知。

从底层原理到表层引用，书籍多的很。个人认为没有什么那本书好？这样的说法。主要看和个人的学习方法是否适合。