利用mysql的预编译机制_SQL注入笔记记录+MySQL的事务隔离级别

最新推荐文章于 2024-04-21 10:28:55 发布
最新推荐文章于 2024-04-21 10:28:55 发布
阅读量59 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29057237/article/details/113694140
版权

SQL注入 MySQL 事务隔离 安全防护 数据库管理
关键词由CSDN通过智能技术生成

(一)SQL注入。

1.如何理解SQL注入?

SQL注入是一种将SQL代码添加到输入参数中,传递到SQL服务器解析并执行的一种攻击手法。

2.SQL注入是如何产生的?

web开发人员无法保证所有的输入都已经过滤。

攻击者利用发送给SQL服务器的输入数据构造可执行的SQL代码

数据库未做相应的安全配置。

3.如何寻找SQL注入漏洞?

借助逻辑推理:

识别web应用中所有输入点。

了解哪些类型的请求会触发异常。(get特殊字符‘ “)

检测服务器响应中的异常。

4.如何进行SQL注入攻击?

数字注入。

(1)select * from name where id=-1 OR 1=1; 这样就会查询全表。

字符串注入。

(1)SQL,#后面会被注释掉的

select * from name= 'llsydn'#' and password = "123456";

(2)SQL,--后面会被注释掉的

select * from name= 'llsydn'--' and password = "123456";

5.如何预防SQL注入?

严格检查输入变量的类型和格式。

过滤和转义特殊字符。

利用mysql的预编译机制。

(二)MySQL隔离级别

1.MySQL事务隔离级别。

SERIALIZABLE; REPEATABLE READ; READ COMITTED; READ UNCOMMITTED

序列化;       可重复读;        提交读;       未提交读

(1)serializable,最高级别,当别操作未提交时,不能操作数据库。

(2)repeatable read,可重复读。(默认的隔离级别)

出现幻读的情况,A事务插入数据insert,并提交commit。B事务查询select,并更新update数据的时候,并提交commit,B查询会出现幻读,即会显示A事务插入的数据。

(3)read committed,提交读。A事务更新update数据,并提交commit。B事务中都可以读取到被更新的数据。(即出现了不可重复读)

(4)read uncommitted,未提交读。A事务更新update数据,未提交。B事务中都可以读取到被更新的数据。(A事务,回滚rollback了,则会出现脏读)

2.MySQL性能与非事务表的表锁定。

支持事务的数据库在保持不同用户彼此隔离方面要比非事务数据库复杂,因此自然

反映在系统的性能上面。

在使用事务表时,提高性能的一些方法:

(1)使用小事务。

(2)选择合适的隔离级别。

(3)保证开始事务前一切都是可行的。

(4)避免死锁。

锺一勺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySQL怎么实现预编译?一文教你搞懂!
Hsuesh的博客
12-25 376
1、预编译的好处 大家平时都使用过JDBC中的PreparedStatement接口,它有预编译功能。什么是预编译功能呢?它有什么好处呢? 当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可执行的函数,最后才是执行SQL语句。其中校验语法,和编译所花的时间可能比执行SQL语句花的时间还要多。 如果我们需要执行多次insert语句,但只是每次插入的值不同,MySQL服务器也是需要每次都去校验SQL语句的语法格式,以及编译,这就浪费了太多的时间。如
MySQL学习笔记(B站网课:MySQL_基础+高级篇- 数据库 -sql -mysql教程_mysql视频_mysql入门_尚硅谷)已完结
m0_61672065的博客
09-13 1218
##本单元目标 一、为什么要学习数据库 二、数据库的相关概念 DBMS、DB、SQL 三、数据库存储数据的特点 四、初始MySQL MySQL产品的介绍 MySQL产品的安装★ MySQL服务的启动和停止★ MySQL服务的登录和退出★ ...
JDBC+SQL注入+事务的特性和隔离级别
Pig-pig-pig的博客
08-12 170
一.JDBC 1.概念 JDBC: Java DataBase Connectivity 使用Java语言操作数据库,就是使用Java语言,去操作数据库。 JDBC,其实就是Java定义的一套和数据库建立连接的规范(接口),那么各家数据库厂商, 想要Java去操作各家的数据库,必须实现这套接口,我们把数据库厂商写的这套实现类,称之为数据库驱动。 2.快速入门 JDBC 六步: 1.导入数据库的驱动jar包 注意各个版本所使用的jar包是不同的,以及要添加依赖 2.加载驱动jar包 只
【開山安全笔记预编译是如何阻止sql注入
開山安全,無限进步
10-22 1066
语法树的建立?模糊查询又如何实现预编译
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解_预编译防止sql注入
m0_62289824的博客
04-21 1036
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间。模拟预编译则用于那些不支持预编译的数据库,本质上是在底层先对用户的输入进行转译,再对SQL语句进行拼接,然后把完整的SQL语句发给数据库执行。正常情况下,用户输入的参数会直接参与SQL语法的编译,而预编译则是先构建语法树,确定SQL语法结构以后,再拼接用户的参数。从注入的过程中我们可以发现,SQL注入的核心是:用户输入的参数改变了SQL的语法结构。
MySQL系列之SQL_MODE学习笔记
Nicky's blog
10-25 2462
最近在学习《MySQL技术内幕:SQL编程》并做了笔记,本博客是一篇笔记类型博客,分享出来,方便自己以后复习,也可以帮助其他人 SQL_MODE:MySQL特有的一个属性,用途很广,可以通过设置属性来实现某些功能支持 # 全局的SQL_MODE SELECT @@global.sql_mode; # 当前会话的SQL_MODE SELECT @@session.sql_mode; S...
javaweb学习笔记之JDBC预编译sql注入问题
qq_47917118的博客
03-27 3460
什么是sql注入 我们写一个登录的界面,把密码设为fdsa和1,代码如下 select * from tbl_user where username = 'fdsafds' and password = 'fdsa' or '1'='1'; 当我们输入 用户名:fdsafds 密码:fdsa' or '1'='1 这样可以登录成功,为什么? 以上SQL语句where条件恒成立,会将数据库表当中的数据全部查询出来 以上现象被称为SQL注入,即 当用户提供的信息当中含有SQL语句的关键字,并且这些
sql_node-master.zip_MYSQL_node笔记_sql
09-25
在本压缩包“sql_node-master.zip_MYSQL_node笔记_sql”中,主要涵盖了使用Node.js进行MySQL数据库操作的相关知识。Node.js是一种基于Chrome V8引擎的JavaScript运行环境,它以其高效、非阻塞I/O和事件驱动的特点,...
MySQL笔记.zip_MySQL数据库_SQL__MySQL数据库_SQL_
08-09
存储过程和触发器也是笔记中的重要章节,它们是数据库的高级功能,允许预编译和存储复杂的SQL逻辑,提高性能和安全性。此外,笔记可能还会讲解视图,它是虚拟表,其结构和数据来源于一个或多个基表。 最后,笔记...
mysql.zip_MYSQL_c mysql_c# mysql
09-19
MySQL是一种广泛使用的开源关系型数据库管理系统,其C API(应用...通过学习这些文档和实例,你可以掌握如何在自己的项目中有效地使用MySQL,包括建立数据库连接、执行SQL查询、处理结果集、事务处理以及异常处理等。
决策概率论,一文读懂群体决策概率与个体决策概率的关系
09-04
有一本书叫做《乌合之众》把群体批得一无是处,然而另一本书《群体的智慧》又阐述群体是有智慧的,群体越大,智慧越高。 读了这篇决策概率论的文章,让你对于群体和个体不再迷茫。
Java项目-基于微信小程序的微信点餐系统(包括源码,数据库,教程).zip
09-04
Java毕设,小程序毕业设计,小程序课程设计,含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。 包含:项目源码、数据库脚本、软件工具等,该项目可以作为毕设、课程设计使用,前后端代码都在里面。 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 项目都经过严格调试,确保可以运行!可以放心下载 1. 技术组成 前端: 小程序 后台框架:SSM/SpringBoot(如果有的话) 开发环境:idea,微信开发者工具 数据库:MySql(建议用 5.7 版本,8.0 有时候会有坑) 数据库可视化工具:使用 Navicat 部署环境:Tomcat(建议用 7.x 或者 8.x 版本),maven
Java项目-基于微信小程序的springboot基于微信小程序的学生宿舍管理系统(包括源码,数据库,教程).zip
09-04
Java毕设,小程序毕业设计,小程序课程设计,含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。 包含:项目源码、数据库脚本、软件工具等,该项目可以作为毕设、课程设计使用,前后端代码都在里面。 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 项目都经过严格调试,确保可以运行!可以放心下载 1. 技术组成 前端: 小程序 后台框架:SSM/SpringBoot(如果有的话) 开发环境:idea,微信开发者工具 数据库:MySql(建议用 5.7 版本,8.0 有时候会有坑) 数据库可视化工具:使用 Navicat 部署环境:Tomcat(建议用 7.x 或者 8.x 版本),maven
魔镜数据_天猫2022.618全品类规模及增速.xlsx
09-04
魔镜数据_天猫2022.618全品类规模及增速
保龄球服务器端程序_BowlingService.zip
最新发布
09-04
保龄球服务器端程序_BowlingService
安卓开发项目介绍及简单示例
09-04
安卓开发项目介绍及简单示例,包括交通状况查询系统开发框架。
关于创业的一些认知,比较有深度,讲得也比较浅显易懂
09-04
把创业看成是男人和女人。创业解决问题需要男性思维,创业寻求资源需要女性思维
1985-2020高校绿色专利.xlsx
09-04
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/141281039 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理 数据范围:1985-2022年 数据范围:全国各城市
SQL注入攻防手册:MySQL与MSSQL函数与技巧
"这篇文档是关于手工SQL注入的常用语句和技巧的笔记,主要针对MySQL,也涉及了一些MSSQL的相关知识。" 在网络安全领域,SQL注入是一种常见的攻击手段,通过利用应用程序对用户输入数据的不当处理,使得恶意用户能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值