周公的专栏 - 数据库技术

SQL Injection（SQL注入）介绍及SQL Injection攻击检测工具

周公 — Wed, 06 Aug 2008 23:35:00 GMT

本文由网上搜集整理，讲述了SQL注入（SQL Injection）的原理和操作机制，还讲述如何防范SQL注入。在文章的最后，介绍了几款SQL注入检测工具，供大家检验自己的网站是否存在SQL注入漏洞。SQL Injection的实现方法和破坏作用有很多，但万变不离其宗，其原理可以概括为一句话：SQL Injection就是向服务器端提交事先准备好的数据，拼凑出攻击者想要的SQL语句，以改变数据库操作执行计划。我想，这么说也许不算精炼，但意思应该很明确了，这句话主要包含这么三层意思： 1.攻击者通过何种途径注入？存在SQL Injection漏洞的地方都是应用程序需要根据客户端环境构造SQL语句的地方。由此可以推论，只要存在"客户端数据替换预定义变量"的地方，就有可能被注入。客户端提交数据可以有很多种方式：GET，POST，Client-Agent，Cookie，Server Enviroment... 2.攻击者为什么可以将它想要的语句"注入"？因为服务器端应用程序采用拼凑（请特别留意这个词）SQL语句的方式，这使得攻击者有机会在提交的数据中包含

安装SQL Server 2005 时报“-2146233087”错误的解决办法

周公 — Sun, 11 May 2008 12:19:00 GMT

虽然MS SQL Server2005推出很长一段时间了，但是因为本人的本本内存太小（和本人一样，属于淘汰品了，呵呵）所以一直没有安装SQL2005，但是今天有优化一个项目，别人用的就是SQL2005，没有办法只好安装了。安装的时候有一个坎一直过不去，错误编号为“-2146233087”，查看了系统日志，描述如下：产品: Microsoft SQL Server 2005 Notification Services -- 错误 29549。无法在 COM+ 目录中安装和配置程序集 C:\Program Files\Microsoft SQL Server\90\NotificationServices\9.0.242\Bin\microsoft.sqlserver.notificationservices.dll。错误: -2146233087 错误消息: Unknown error 0x80131501 错误说明: 事务管理器可用。 (异常来自 HRESULT:0x8004D01B)

SQL SERVER存储过程解密方法

周公 — Tue, 01 Jan 2008 19:38:00 GMT

存储过程的解密方法。

值得收藏的Microsoft SQL Server下的SQL语句

周公 — Wed, 07 Nov 2007 16:04:00 GMT

SQL语句虽然简单，但还是很容易遗忘。看到这篇文章整理的不错，故转帖一下。原始出处已杳。SQL语句先前写的时候，很容易把一些特殊的用法忘记，我特此整理了一下SQL语句操作。值得收藏。

学习SQL SERVER的存储过程-之一认识存储过程语法

周公 — Wed, 07 Nov 2007 15:57:00 GMT

本文讲述了Microsoft SQL Server数据库存储过程的一些基础知识。

Oracle SQL精妙SQL语句讲解

周公 — Wed, 07 Nov 2007 15:52:00 GMT

值得收藏的Oracle SQL语句，确实值得收藏。

利用Power Designer反向数据库结构

周公 — Mon, 22 Oct 2007 19:01:00 GMT

Power Designer是Sybase公司的CASE工具集，使用它可以方便地对管理信息系统进行分析设计，它几乎包括了数据库模型设计的全过程。利用Power Designer可以制作数据流程图、概念数据模型、物理数据模型，可以生成多种客户端开发工具的应用程序，还可为数据仓库制作结构模型，也能对团队设计模型进行控制。

Sql Server 常用日期格式

周公 — Tue, 09 Oct 2007 18:13:00 GMT

进来因为开发原因，经常需要使用日期方面的比较和操作，整理了一下这方面的资料，供大家共享。

五种提高 SQL 性能的方法

周公 — Sat, 22 Sep 2007 12:11:00 GMT

本文节选自MSDN的文章《五种提高 SQL 性能的方法》，提出如何提高基于SQL Server应用程序的运行效率，非常值得推荐。对一些Traffic很高的应用系统而言，如何提高和改进SQL指令，是非常重要的，也是一个很好的突破点。

关于SQL Server下无限多级别分类查询解决办法

周公 — Mon, 10 Sep 2007 18:39:00 GMT

在开发中经常会遇到无限级分类的问题，最常见的是一些无限级目录之类的，如果你对SQL Server还不是太熟悉或者还不太熟悉SQL语言的话，这将是一件很困难的事情，也许你最后能实现类似的功能，不过可能花费的时间很长，效率也不是很理想，下面的示例也许能给你一个启示。

0RACLE的字段类型

周公 — Sat, 08 Sep 2007 10:25:00 GMT

本人第一次用Oracle做实际开发，对Oracle的数据字段不是非常熟悉，因此整理了有关Oracle数据库基础数据类型的介绍。介绍和说明来自多方收集整理，难免有失误之处，希望各位高手不吝执教。

在Oracle中不通过存储过程一次执行多条SQL语句Oracle PL/SQL

周公 — Fri, 07 Sep 2007 16:35:00 GMT

PL/SQL是ORACLE对标准数据库语言的扩展，ORACLE公司已经将PL/SQL整合到ORACLE 服务器和其他工具中了，近几年中更多的开发人员和DBA开始使用PL/SQL，本文将讲述PL/SQL基础语法，结构和组件、以及如何设计并执行一个PL/SQL程序。当PL/SQL程序块在PL/SQL引擎处理时，ORACLE服务器中的SQL语句执行器处理pl/sql程序块中的SQL语句。变量和常量。变量一般都在PL/SQL块的声明部分声明，PL/SQL是一种强壮的类型语言，这就是说在引用变量前必须首先声明，要在执行或异常处理部分使用变量，那么变量必须首先在声明部分进行声明。本文还演示了在一个Oracle Connection连接中一次如何执行多条SQL语句。

PowerDesign高级应用

周公 — Mon, 03 Sep 2007 18:46:00 GMT

本文主要解决以下问题： 1、去掉Oracle生成的SQL创建语句中的双引号 2、PowerDesign高级应用 3、修改建表脚本生成规则。 4、修改字段生成规则。 5、修改外键命名规则。 6、添加外键 7、取消name和code联动

Oracle创建自增字段方法-ORACLE SEQUENCE的简单介绍

周公 — Tue, 28 Aug 2007 16:45:00 GMT

在Oracle里是没有自增字段的，熟悉SQL Server开发和MySQL开发的朋友可能不太习惯（因为我也是），找了找资料，通过Sequence和trigger可以实现类似的功能。

一个用户SQL Server2000/2005的好工具_——数据库发布向导(Database Publishing Wizard)

周公 — Thu, 19 Jul 2007 19:49:00 GMT

很多数据库都提供提供数据库定义和数据导入功能，但不幸的是SQL Server却没有，导出成SQL语句只会到处数据库对象的定义，并不包含数据，为了达到导出数据的功能，我们通常只能通过数据库附加或者备份的功能实现，而无法像MySQL那样利用一个SQL语句就能完成数据库的定义和数据导入。好了， SQL Server现在也提供了这种功能了，它用到了一个软件数据库发布向导(Database Publishing Wizard)，它可以免费获取，该向导支持2种数据库主机部署场景： 1) 数据库发布向导允许你指向一个你正在本机上操作的数据库，然后自动生成一个.SQL脚本文件，该文件包含了在任何远程系统上重建一个当前数据库的完整拷贝所需的安装逻辑。这个.SQL脚本包括了需要创建数据库定义(表，视图，存储过程，触发器，全文索引目录，角色，规则等等，可在此处参考所有细节)，以及把与你本地数据库同样的数据内容填充到新数据库里去的所有的东西(这类似于MySQL 的dump工具)。把这些安装逻辑封装在单个.SQL 文件的好处是，大多数主机供应商已经支持上传 .SQL 文件到他们的主机环境，并且通过