莫相离 发表于 2015-1-16 22:34:27

MSSQL网页设计SQL注进(SQL Injection)打击征象与提防...

这能找出所有错误的99.99%。它不能找出的是仅仅涉及数据文件的损坏(这很不常见)。如果你想要检查一张表,你通常应该没有选项地运行myisamchk或用-s或--silent选项的任何一个。打击比来在做一个ASP项目,才真正入手下手懂得SQL注进,之前只传闻SQL注进在ASP等一些Web程序中对照广泛,但真正懂得并细心研讨后,才发明它是一种编码中呈现的不平安毛病,不但是ASP,一切开辟工具和数据库,一切C/S、B/S编写的程序都大概产生SQL注进,包含VB、Delphi、C#、JAVA、SQLServer、Oracle等。

SQL注进毛病是开辟职员不注意本人程序的平安性所酿成的,说白了也是开辟职员手艺程度的一个别现,寻常总传闻“平安性”,感到离本人很悠远,实在软件的平安性就在我们身旁。

该好好反省反省本人的程序了,让提防SQL注进成为本人编写数据库程序的一个习气!


以下是比来扫瞄的一些SQL注进和数据库平安性方面的文章,都出自微软,先容得较为周全,十分值得一读:


SQLInjection(Y料[a)–客的SQL填空[(MicrosoftTaiWan)

『Y料[a』SQLInjection的源由c防之道(MicrosoftTaiWan)

构建平安的数据会见(MicrosoftChinaTechNet)

数据会见平安性(MicrosoftChinaTechNet)

包管数据库服务器的平安(MicrosoftChinaTechNet)

闪回的目的是要让数据库在commit之后,还能恢复到之前的某个状态,整库或指定的表。

精灵巫婆 发表于 2015-1-19 16:56:25

对于微软系列的东西除了一遍遍尝试还真没有太好的办法

仓酷云 发表于 2015-1-25 10:51:22

需要注意的一点,也是我使用过程中发现的一个问题。在建立function->schema->table后,如果在现有的分区表上建立没有显式声明的聚集索引时,分区表会自动变为非分区表。这一点很让我纳闷。

再见西城 发表于 2015-2-2 21:45:47

学习SQL语言的话如果要学会去做网站就不是很难!但是要做数据库管理的话就有难度了!

蒙在股里 发表于 2015-2-8 07:30:59

可能有的朋友会抱怨集成的orderby,其实如果使用ranking函数,Orderby是少不了的。如果担心Orderby会影响效率,可以为orderby的字段建立聚集索引,查询计划会忽略orderby操作(因为本来就是排序的嘛)。

不帅 发表于 2015-2-25 00:13:19

对于微软系列的东西除了一遍遍尝试还真没有太好的办法

山那边是海 发表于 2015-3-7 14:39:28

一个百万级别的基本信息表A,一个百万级别的详细记录表B,A中有个身份证id,B中也有身份id;先要找出A中在B的详细记录。

金色的骷髅 发表于 2015-3-15 07:39:38

我是一个ERP初学者,对于前台运用基本熟悉,但对于后台SQLServer的运用一点也不懂,特想学习下相关资料。至少懂得一些基本的运用。希望各位能给于建议,小弟再谢过!

再现理想 发表于 2015-3-21 21:47:02

习惯敲命令行的朋友可能会爽一些。但是功能有限。适合机器跑不动SQLServerManagementStudio的朋友使用。
页: [1]
查看完整版本: MSSQL网页设计SQL注进(SQL Injection)打击征象与提防...