1. mysql的事務隔離級別怎麼設置
修改方法
有兩種方法可以對配置了 systemd 的程序進行資源隔離:1. 命令行修改:通過執行systemctl set-property命令實現,形式為systemctl set-propertyname parameter=value;修改默認即時生效。2. 手工修改文件:直接編輯程序的 systemd unit file 文件,完成之後需手工執行systemctldaemon-reload更新配置,並重啟服務systemctl restart name.service。
systemd unit file 里支持的資源隔離配置項,如常見的:
CPUQuota=value
該參數表示服務可以獲取的最大 CPU 時間,value 為百分數形式,高於 100% 表示可使用1 核以上的CPU。與 cgroup cpu 控制器cpu.cfs_quota_us配置項對應。
MemoryLimit=value
該參數表示服務可以使用的最大內存量,value 可以使用 K, M, G, T 等後綴表示值的大小。與 cgroupmemory 控制器memory.limit_in_bytes配置項對應。
事務的4種隔離級別
READ UNCOMMITTED 未提交讀,可以讀取未提交的數據。READ COMMITTED 已提交讀,對於鎖定讀(select with for update 或者 for share)、update 和 delete 語句, InnoDB 僅鎖定索引記錄,而不鎖定它們之間的間隙,因此允許在鎖定的記錄旁邊自由插入新記錄。 Gap locking 僅用於外鍵約束檢查和重復鍵檢查。REPEATABLE READ 可重復讀,事務中的一致性讀取讀取的是事務第一次讀取所建立的快照。SERIALIZABLE 序列化
在了解了 4 種隔離級別的需求後,在採用鎖控制隔離級別的基礎上,我們需要了解加鎖的對象(數據本身&間隙),以及了解整個數據范圍的全集組成。
數據范圍全集組成
SQL 語句根據條件判斷不需要掃描的數據范圍(不加鎖);
SQL 語句根據條件掃描到的可能需要加鎖的數據范圍;
以單個數據范圍為例,數據范圍全集包含:(數據范圍不一定是連續的值,也可能是間隔的值組成)
2. SQL語句求助!
定義了事務的隔離級別,是否可讀
3. sql語句幫助(高分懸賞)
api(application programming interfaces,應用程序介面)
ascii(american standard code for information interchange,美國國家標准信息交換代碼)
atl: activex template library(activex模板庫)
basic:beginner's all-purpose symbolic instruction code(初學者通用指令代碼)
com: component object model(組件對象模式)
dna: distributed internet application(分布式網際網路應用程序)
mfc: microsoft foundation classes(微軟基礎類庫)
sdk(software development kit,軟體開發工具包)
windows
ce(consumer electronics,消費電子)
dcom: distributing component object model,構造物體模塊
dhcp: dynamic host configuration protocol,動態主機分配協議
dmf: distribution media format
gdi(graphics device interface,圖形設備介面)
gui(graphics user interface,圖形用戶界面)
gpf(general protect fault,一般保護性錯誤)
hta: hypertext application,超文本應用程序
inf file(information file,信息文件)
ini file(initialization file,初始化文件)
ndis: network driver interface specification,網路驅動程序介面規范
nt(new technology,新技術)
qos: quality of service,服務質量
rrvp: resource reservation protocol(資源保留協議)
rtos(real time operating systems,實時操作系統)
sbfs: simple boot flag specification,簡單引導標記規范
vefat: virtual file allocation table(虛擬文件分配表)
(vxd,virtual device drivers,虛擬設備驅動程序)
wdm(windows driver model,視窗驅動程序模塊)
winsock: windows socket,視窗套介面
whql: windows hardware quality labs,windows硬體質量實驗室
whs: windows Xing host,視窗腳本程序
zam: zero administration for windows,零管理視窗系統
加密
ecc: elliptic curve crypto(橢圓曲線加密)
set: secure electronic transaction(安全電子交易)
語言
css: cascading style sheets,層疊格式表
dcd: X content deXion for xml: xml文件內容描述
dtd: X type definition,文件類型定義
html(hypertext markup language,超文本標記語言)
jvm: X virtual machine, X虛擬機
oji: open X vm interface,開放X虛擬機介面
sgml: standard generalized markup language,標准通用標記語言
smil: synchronous multimedia integrate language(同步多媒體集成語言)
vrml:virtual reality makeup language,虛擬現實結構化語言
vxml(voice extensible markup language,語音擴展標記語言)
xml: extensible markup language(可擴展標記語言)
xsl: extensible style sheet language(可擴展設計語言)
adimm(advanced al in-line memory moles,高級雙重內嵌式內存模塊)
amr(audio/modem riser;音效/數據機主機板附加直立插卡)
aha(accelerated hub architecture,加速中心架構)
ask ir(amplitude shift keyed infra-red,長波形可移動輸入紅外線)
atx: at extend(擴展型at)
bios(basic input/output system,基本輸入/輸出系統)
cse(configuration space enable,可分配空間)
db: device bay,設備插架
dmi(desktop management interface,桌面管理介面)
eb(expansion bus,擴展匯流排)
eisa(enhanced instry standard architecture,增強形工業標准架構)
emi(electromagnetic interference,電磁干擾)
escd(extended system configuration data,可擴展系統配置數據)
fbc(frame buffer cache,幀緩沖緩存)
firewire(火線,即ieee1394標准)
fsb: front side bus,前置匯流排,即外部匯流排
fwh( firmware hub,固件中心)
gmch(graphics & memory controller hub,圖形和內存控制中心)
gpis(general purpose inputs,普通操作輸入)
ich(input/output controller hub,輸入/輸出控制中心)
ir(infrared ray,紅外線)
irda(infrared ray,紅外線通信介面可進行區域網存取和文件共享)
isa: instry standard architecture,工業標准架構
isa(instruction set architecture,工業設置架構)
mdc(mobile daughter card,移動式子卡)
mrh-r(memory repeater hub,內存數據處理中心)
mrh-s(sdram repeater hub,sdram數據處理中心)
mth(memory transfer hub,內存轉換中心)
ngio(next generation input/output,新一代輸入/輸出標准)
p64h(64-bit pci controller hub,64位pci控制中心)
pcb(printed circuit board,印刷電路板)
pcba(printed circuit board assembly,印刷電路板裝配)
pci: peripheral component interconnect,互連外圍設備
pci sig(peripheral component interconnect special interest group,互連外圍設備專業組)
post(power on self test,加電自測試)
rng(random number generator,隨機數字發生器)
rtc: real time clock(實時時鍾)
kbc(keybroad control,鍵盤控制器)
sap(sideband address port,邊帶定址埠)
sba(side band addressing,邊帶定址)
sma: share memory architecture,共享內存結構
std(suspend to disk,磁碟喚醒)
str(suspend to ram,內存喚醒)
svr: switching voltage regulator(交換式電壓調節)
usb(universal serial bus,通用串列匯流排)
usdm(unified system diagnostic manager,統一系統監測管理器)
vid(voltage identification definition,電壓識別認證)
vrm (voltage regulator mole,電壓調整模塊)
zif: zero insertion force, 零插力
主板技術
gigabyte
acops: automatic cpu overheat prevention system(cpu過熱預防系統)
siv: system information viewer(系統信息觀察)
磐英
esdj(easy setting al jumper,簡化cpu雙重跳線法)
浩鑫
upt(usb、panel、link、tv-out四重介面)
晶元組
acpi(advanced configuration and power interface,先進設置和電源管理)
agp(accelerated graphics port,圖形加速介面)
i/o(input/output,輸入/輸出)
mioc: memory and i/o bridge controller,內存和i/o橋控制器
nbc: north bridge chip(北橋晶元)
piix: pci isa/ide accelerator(加速器)
pse36: page size extension 36-bit,36位頁面尺寸擴展模式
pxb: pci expander bridge,pci增強橋
rcg: ras/cas generator,ras/cas發生器
sbc: south bridge chip(南橋晶元)
smb: system management bus(全系統管理匯流排)
spd(serial presence detect,內存內部序號檢測裝置)
ssb: super south bridge,超級南橋晶元
tdp: triton data path(數據路徑)
tsc: triton system controller(系統控制器)
qpa: quad port acceleration(四介面加速)
3dnow!(3d no waiting)
alu(arithmetic logic unit,算術邏輯單元)
agu(address generation units,地址產成單元)
bga(ball grid array,球狀矩陣排列)
bht(branch prediction table,分支預測表)
bpu(branch processing unit,分支處理單元)
brach pediction(分支預測)
cmos: complementary metal oxide semiconctor,互補金屬氧化物半導體
cisc(complex instruction set computing,復雜指令集計算機)
clk(clock cycle,時鍾周期)
cob(cache on board,板上集成緩存)
cod(cache on die,晶元內集成緩存)
cpga(ceramic pin grid array,陶瓷針型柵格陣列)
cpu(center processing unit,中央處理器)
data forwarding(數據前送)
decode(指令解碼)
dib(al independent bus,雙獨立匯流排)
ec(embedded controller,嵌入式控制器)
embedded chips(嵌入式)
epic(explicitly parallel instruction code,並行指令代碼)
fadd(floationg point addition,浮點加)
fcpga(flip chip pin grid array,反轉晶元針腳柵格陣列)
fdiv(floationg point divide,浮點除)
femms:fast entry/exit multimedia state,快速進入/退出多媒體狀態
fft(fast fourier transform,快速熱歐姆轉換)
fid(fid:frequency identify,頻率鑒別號碼)
fifo(first input first output,先入先出隊列)
flip-chip(晶元反轉)
flop(floating point operations per second,浮點操作/秒)
fmul(floationg point multiplication,浮點乘)
fpu(float point unit,浮點運算單元)
fsub(floationg point subtraction,浮點減)
gvpp(generic visual perception processor,常規視覺處理器)
hl-pbga: 表面黏著,高耐熱、輕薄型塑膠球狀矩陣封裝
ia(intel architecture,英特爾架構)
icu(instruction control unit,指令控制單元)
id:identify,鑒別號碼
idf(intel developer forum,英特爾開發者論壇)
ieu(integer execution units,整數執行單元)
imm: intel mobile mole, 英特爾移動模塊
instructions cache,指令緩存
instruction coloring(指令分類)
ipc(instructions per clock cycle,指令/時鍾周期)
isa(instruction set architecture,指令集架構)
kni(katmai new instructions,katmai新指令集,即sse)
latency(潛伏期)
ldt(lightning data transport,閃電數據傳輸匯流排)
local interconnect(局域互連)
mesi(modified, exclusive, shared, invalid:修改、排除、共享、廢棄)
mmx(multimedia extensions,多媒體擴展指令集)
mmu(multimedia unit,多媒體單元)
mflops(million floationg point/second,每秒百萬個浮點操作)
mhz(million hertz,兆赫茲)
mp(multi-processing,多重處理器架構)
mps(multiprocessor specification,多重處理器規范)
msrs(model-specific registers,特別模塊寄存器)
naoc(no-account overclock,無效超頻)
ni:non-intel,非英特爾
olga(organic land grid array,基板柵格陣列)
ooo(out of order,亂序執行)
pga: pin-grid array(引腳網格陣列),耗電大
post-risc
pr(performance rate,性能比率)
psn(processor serial numbers,處理器序列號)
pib(processor in a box,盒裝處理器)
ppga(plastic pin grid array,塑膠針狀矩陣封裝)
pqfp(plastic quad flat package,塑料方塊平面封裝)
raw(read after write,寫後讀)
register contention(搶占寄存器)
register pressure(寄存器不足)
register renaming(寄存器重命名)
remark(晶元頻率重標識)
resource contention(資源沖突)
retirement(指令引退)
risc(reced instruction set computing,精簡指令集計算機)
sec: single edge connector,單邊連接器
shallow-trench isolation(淺槽隔離)
simd(single instruction multiple data,單指令多數據流)
sio2f(fluorided silicon oxide,二氧氟化硅)
smi(system management interrupt,系統管理中斷)
smm(system management mode,系統管理模式)
smp(symmetric multi-processing,對稱式多重處理架構)
soi: silicon-on-insulator,絕緣體矽片
sonc(system on a chip,系統集成晶元)
spec(system performance evaluation corporation,系統性能評估測試)
sqrt(square root calculations,平方根計算)
sse(streaming simd extensions,單一指令多數據流擴展)
superscalar(超標量體系結構)
tcp: tape carrier package(薄膜封裝),發熱小
throughput(吞吐量)
tlb(translate look side buffers,翻譯旁視緩沖器)
uswc(uncacheabled speculative write combination,無緩沖隨機聯合寫操作)
valu(vector arithmetic logic unit,向量算術邏輯單元)
vliw(very long instruction word,超長指令字)
vpu(vector permutate unit,向量排列單元)
vpu(vector processing units,向量處理單元,即處理mmx、sse等simd指令的地方)
library 庫,程序庫
linkage 連接
to load 裝入,寄存,寫入,載入
location 存儲單元
logger 登記器,記錄器
loop 循環
machine language 機器語言
magnetic storage 磁存儲器
magnetic tape 磁帶
matrix 矩陣
memory 存儲器
message 信息,報文
microcomputer 微型計算機
mole 組件,模塊
monitor 監視器,監督程序,管程
nanosecond 毫微秒
network 網路,網
numeric, numerical 數字的,數值的
octet 八位位組,八位位元組
operator 操作員
optical character reader 光符閱讀機
optical scanner 光掃描器
output 輸出
overflow 溢出,上溢
panel 平板
parameter 參數,參量
perforator 穿孔機
peripheral equipment 外圍設備,外部設備
personal computer 個人計算機
printed circuit 印製電路
printer 列印機
printout 列印輸出
to process 處理
processing unit 處理部件
program 程序
to program 程序編制
programmer 程序設計員
programming 程序設計,程序編制
pulse 脈沖
punch 穿孔
to punch 穿孔
punched card, punch card 穿孔卡片
punched tape, punch tape 穿孔紙帶
punch hole 孔,穿孔
random access 隨機存取
to read 讀
reader 閱讀程序
reading 閱讀
real time 實時
record, register 記錄
rendancy 冗餘
routine 例行程序
selector 選擇器,選擇符
sentinel 標記
sequence 序列,順序
sequential 順序的
serial 串列的.連續的
shift 移位,移數
signal 信號
simulation 模擬
simulator 模擬器,模擬程序
software 軟體,軟設備
sort 分類,排序
sorter 分類人員,分類機,分類程序,排序程序
storage 存儲器
to store 存儲
subroutine, subprogram 子程序
switch 開關
symbol 符號
symbolic language 符號語言
system 系統
tabulator 製表機
teleprinter 電傳打字機
terminal 終端
terminal unit 終端設備
timer 時鍾,精密計時器
time sharing 分時
timing 定時
track 磁軌
transcer 感測器,翻譯機
translator 翻譯程序,翻譯器
to update 更新
Winchester disk drive 溫徹斯特磁碟機,硬碟機
working storage 工作存儲器
c2c: card-to-card interleaving,卡到卡交錯存取
cc-numa(cache-coherent non uniform memory access,連貫緩沖非統一內存定址)
chrp(common hardware reference platform,共用硬體平台,ibm為powerpc制定的標准,可以兼容mac os, windows nt, solaris, os/2, linux和aix等多種操作系統)
emp: emergency management port,緊急事件管理埠
icmb: inter-chassis management bus, 內部管理匯流排
mpp(massive parallel processing,巨量平行處理架構)
mux: data path multiplexor,多重路徑數據訪問
4. 如果要匹配整個數字,sql語句正則表達式怎麼寫:如東方線110開關,東方線110隔離開關,
如果你用的是 SQL Server , 可以使用 PATINDEX 函數處理。
CREATE TABLE #temp ( val varchar(30) );
GO
INSERT INTO #temp
SELECT '東方線110開關' UNION ALL
SELECT '東方線110隔離開關' UNION ALL
SELECT '東方線110我1開關' UNION ALL
SELECT '東方線1101開關';
GO
1> SELECT *
2> FROM #temp
3> WHERE
4> PATINDEX ('%[^0-9]110[^0-9]%', val ) > 0
5> GO
val
------------------------------
東方線110開關
東方線110隔離開關
東方線110我1開關
(3 行受影響)
5. oracle標准sql中不能用1=1 怎麼替換或者解決方式
sql語句估計不好用其他方式了,只能在java語言中做邏輯判定去加上where
6. 怎樣寫sql語句可以加上行級排它鎖
看你需要加哪種類型的鎖:
HOLDLOCK 將共享鎖保留到事務完成,而不是在相應的表、行或數據頁不再需要時就立即釋放鎖。HOLDLOCK 等同於 SERIALIZABLE。
NOLOCK 不要發出共享鎖,並且不要提供排它鎖。當此選項生效時,可能會讀取未提交的事務或一組在讀取中間回滾的頁面。有可能發生臟讀。僅應用於 SELECT 語句。
PAGLOCK 在通常使用單個表鎖的地方採用頁鎖。
READCOMMITTED 用與運行在提交讀隔離級別的事務相同的鎖語義執行掃描。默認情況下,SQL Server 2000 在此隔離級別上操作。
READPAST 跳過鎖定行。此選項導致事務跳過由其它事務鎖定的行(這些行平常會顯示在結果集內),而不是阻塞該事務,使其等待其它事務釋放在這些行上的鎖。 READPAST 鎖提示僅適用於運行在提交讀隔離級別的事務,並且只在行級鎖之後讀取。僅適用於 SELECT 語句。
READUNCOMMITTED 等同於 NOLOCK。
REPEATABLEREAD 用與運行在可重復讀隔離級別的事務相同的鎖語義執行掃描。
ROWLOCK 使用行級鎖,而不使用粒度更粗的頁級鎖和表級鎖。
SERIALIZABLE 用與運行在可串列讀隔離級別的事務相同的鎖語義執行掃描。等同於 HOLDLOCK。
TABLOCK 使用表鎖代替粒度更細的行級鎖或頁級鎖。在語句結束前,SQL Server 一直持有該鎖。但是,如果同時指定 HOLDLOCK,那麼在事務結束之前,鎖將被一直持有。
TABLOCKX 使用表的排它鎖。該鎖可以防止其它事務讀取或更新表,並在語句或事務結束前一直持有。
UPDLOCK 讀取表時使用更新鎖,而不使用共享鎖,並將鎖一直保留到語句或事務的結束。UPDLOCK 的優點是允許您讀取數據(不阻塞其它事務)並在以後更新數據,同時確保自從上次讀取數據後數據沒有被更改。
XLOCK 使用排它鎖並一直保持到由語句處理的所有數據上的事務結束時。可以使用 PAGLOCK 或 TABLOCK 指定該鎖,這種情況下排它鎖適用於適當級別的粒度。
7. SQL注入攻擊的種類和防範手段有哪些
暈,這不是C#考題嗎。
SQL注入攻擊的種類
知彼知己,方可取勝。首先要清楚SQL注入攻擊有哪些種類。
1.沒有正確過濾轉義字元
在用戶的輸入沒有為轉義字元過濾時,就會發生這種形式的注入式攻擊,它會被傳遞給一個SQL語句。這樣就會導致應用程序的終端用戶對資料庫上的語句實施操縱。比方說,下面的這行代碼就會演示這種漏洞:
statement := "SELECT * FROM users WHERE name = '" + userName + "'; "
這種代碼的設計目的是將一個特定的用戶從其用戶表中取出,但是,如果用戶名被一個惡意的用戶用一種特定的方式偽造,這個語句所執行的操作可能就不僅僅是代碼的作者所期望的那樣了。例如,將用戶名變數(即username)設置為:
a' or 't'='t,此時原始語句發生了變化:
SELECT * FROM users WHERE name = 'a' OR 't'='t';
如果這種代碼被用於一個認證過程,那麼這個例子就能夠強迫選擇一個合法的用戶名,因為賦值't'='t永遠是正確的。
在一些SQL伺服器上,如在SQLServer中,任何一個SQL命令都可以通過這種方法被注入,包括執行多個語句。下面語句中的username的值將會導致刪除「users」表,又可以從「data」表中選擇所有的數據(實際上就是透露了每一個用戶的信息)。
a'; DROP TABLE users; SELECT * FROM data WHERE name LIKE '%
這就將最終的SQL語句變成下面這個樣子:
SELECT * FROM users WHERE name = 'a'; DROP TABLE users; SELECT * FROM DATA WHERE name LIKE '%';
其它的SQL執行不會將執行同樣查詢中的多個命令作為一項安全措施。這會防止攻擊者注入完全獨立的查詢,不過卻不會阻止攻擊者修改查詢。
2.Incorrect type handling
如果一個用戶提供的欄位並非一個強類型,或者沒有實施類型強制,就會發生這種形式的攻擊。當在一個SQL語句中使用一個數字欄位時,如果程序員沒有檢查用戶輸入的合法性(是否為數字型)就會發生這種攻擊。例如:
statement := "SELECT * FROM data WHERE id = " + a_variable + "; "
從這個語句可以看出,作者希望a_variable是一個與「id」欄位有關的數字。不過,如果終端用戶選擇一個字元串,就繞過了對轉義字元的需要。例 如,將a_variable設置為:1; DROP TABLE users,它會將「users」表從資料庫中刪除,SQL語句變成:SELECT * FROM DATA WHERE id = 1; DROP TABLE users;
3.資料庫伺服器中的漏洞
有時,資料庫伺服器軟體中也存在著漏洞,如MYSQL伺服器中mysql_real_escape_string()函數漏洞。這種漏洞允許一個攻擊者根據錯誤的統一字元編碼執行一次成功的SQL注入式攻擊。
4.盲目SQL注入式攻擊
當一個Web應用程序易於遭受攻擊而其結果對攻擊者卻不見時,就會發生所謂的盲目SQL注入式攻擊。有漏洞的網頁可能並不會顯示數據,而是根據注入到合法 語句中的邏輯語句的結果顯示不同的內容。這種攻擊相當耗時,因為必須為每一個獲得的位元組而精心構造一個新的語句。但是一旦漏洞的位置和目標信息的位置被確 立以後,一種稱為Absinthe的工具就可以使這種攻擊自動化。
5.條件響應
注意,有一種SQL注入迫使資料庫在一個普通的應用程序屏幕上計算一個邏輯語句的值:
SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=1
這會導致一個標準的面面,而語句
SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=2在頁面易於受到SQL注入式攻擊時,它有可能給出一個不同的結果。如此這般的一次注入將會證明盲目的SQL注入是可能的,它會使攻擊者根據另外一個 表中的某欄位內容設計可以評判真偽的語句。
6.條件性差錯
如果WHERE語句為真,這種類型的盲目SQL注入會迫使資料庫評判一個引起錯誤的語句,從而導致一個SQL錯誤。例如:
SELECT 1/0 FROM users WHERE username='Ralph'。顯然,如果用戶Ralph存在的話,被零除將導致錯誤。
7.時間延誤
時間延誤是一種盲目的SQL注入,根據所注入的邏輯,它可以導致SQL引擎執行一個長隊列或者是一個時間延誤語句。攻擊者可以衡量頁面載入的時間,從而決定所注入的語句是否為真。
以上僅是對SQL攻擊的粗略分類。但從技術上講,如今的SQL注入攻擊者們在如何找出有漏洞的網站方面更加聰明,也更加全面了。出現了一些新型的SQL攻 擊手段。黑客們可以使用各種工具來加速漏洞的利用過程。我們不妨看看the Asprox Trojan這種木馬,它主要通過一個發布郵件的僵屍網路來傳播,其整個工作過程可以這樣描述:首先,通過受到控制的主機發送的垃圾郵件將此木馬安裝到電 腦上,然後,受到此木馬感染的電腦會下載一段二進制代碼,在其啟動時,它會使用搜索引擎搜索用微軟的ASP技術建立表單的、有漏洞的網站。搜索的結果就成 為SQL注入攻擊的靶子清單。接著,這個木馬會向這些站點發動SQL注入式攻擊,使有些網站受到控制、破壞。訪問這些受到控制和破壞的網站的用戶將會受到 欺騙,從另外一個站點下載一段惡意的JavaScript代碼。最後,這段代碼將用戶指引到第三個站點,這里有更多的惡意軟體,如竊取口令的木馬。
以前,我們經常警告或建議Web應用程序的程序員們對其代碼進行測試並打補丁,雖然SQL注入漏洞被發現和利用的機率並不太高。但近來攻擊者們越來越多地 發現並惡意地利用這些漏洞。因此,在部署其軟體之前,開發人員應當更加主動地測試其代碼,並在新的漏洞出現後立即對代碼打補丁。
防禦和檢查SQL注入的手段
1.使用參數化的過濾性語句
要防禦SQL注入,用戶的輸入就絕對不能直接被嵌入到SQL語句中。恰恰相反,用戶的輸入必須進行過濾,或者使用參數化的語句。參數化的語句使用參數而不 是將用戶輸入嵌入到語句中。在多數情況中,SQL語句就得以修正。然後,用戶輸入就被限於一個參數。下面是一個使用Java和JDBC API例子:
PreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE PASSWORD=?");
prep.setString(1, pwd);
總體上講,有兩種方法可以保證應用程序不易受到SQL注入的攻擊,一是使用代碼復查,二是強迫使用參數化語句的。強迫使用參數化的語句意味著嵌入用戶輸入的SQL語句在運行時將被拒絕。不過,目前支持這種特性的並不多。如H2 資料庫引擎就支持。
2.還要避免使用解釋程序,因為這正是黑客們藉以執行非法命令的手段。
3.防範SQL注入,還要避免出現一些詳細的錯誤消息,因為黑客們可以利用這些消息。要使用一種標準的輸入確認機制來驗證所有的輸入數據的長度、類型、語句、企業規則等。
4.使用專業的漏洞掃描工具。但防禦SQL注入攻擊也是不夠的。攻擊者們目前正在自動搜索攻擊目標並實施攻擊。其技術甚至可以輕易地被應用於其它的Web 架構中的漏洞。企業應當投資於一些專業的漏洞掃描工具,如大名鼎鼎的Acunetix的Web漏洞掃描程序等。一個完善的漏洞掃描程序不同於網路掃描程 序,它專門查找網站上的SQL注入式漏洞。最新的漏洞掃描程序可以查找最新發現的漏洞。
5.最後一點,企業要在Web應用程序開發過程的所有階段實施代碼的安全檢查。首先,要在部署Web應用之前實施安全測試,這種措施的意義比以前更大、更深遠。企業還應當在部署之後用漏洞掃描工具和站點監視工具對網站進行測試。
Web安全拉警報已經響起,安全形式異常嚴峻,企業絕對不應當草率從事。安全重於泰山!