mysql 存储过程 注入_MySQL之存储过程创建和调用

最新推荐文章于 2023-06-11 08:13:10 发布
最新推荐文章于 2023-06-11 08:13:10 发布
阅读量116 收藏
点赞数
文章标签: mysql 存储过程 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35253177/article/details/113439406
版权

一、MySQL存储过程_创建-调用

1.1存储过程:SQL中的“脚本”

1.创建存储过程

2.调用存储过程

3.存储过程体

4.语句标签块

二、MySQL存储过程简单介绍:

存储过程(Stored Procedure):

提示:#SQL语句:先编译后执行

一组可编程的函数,是为了完成特定功能的SQL语句集,经编译创建并保存在数据库中,用户可通过指定存储过程的名字并给定参数(需要时)来调用执行。

优点(为什么要用存储过程?):

①将重复性很高的一些操作,封装到一个存储过程中,简化了对这些SQL的调用

②批量处理:SQL+循环,减少流量,也就是“跑批”

③统一接口,确保数据的安全

相对于oracle数据库来说,MySQL的存储过程相对功能较弱,使用较少。

三、存储过程的创建和调用

说明:存储过程就是具有名字的一段代码,用来完成一个特定的功能。创建的存储过程保存在数据库的数据字典中。

3.1创建存储过程

语法介绍:

CREATE

[DEFINER = { user | CURRENT_USER }]

PROCEDURE sp_name ([proc_parameter[,...]])

[characteristic ...] routine_body

proc_parameter:

[ IN | OUT | INOUT ] param_name type

characteristic:

COMMENT 'string'

| LANGUAGE SQL

| [NOT] DETERMINISTIC

| { CONTAINS SQL | NO SQL | READS SQL DATA | MODIFIES SQL DATA }

| SQL SECURITY { DEFINER | INVOKER }

routine_body:

Valid SQL routine statement

[begin_label:] BEGIN

[statement_list]

……

END [end_label]

实例1演示:

创建测试表:

CREATE TABLE `test1_event` (

`id` int(8) NOT NULL AUTO_INCREMENT,

`username` varchar(20) COLLATE utf8_unicode_ci NOT NULL,

`password` varchar(20) COLLATE utf8_unicode_ci NOT NULL,

`create_time` varchar(20) COLLATE utf8_unicode_ci NOT NULL,

PRIMARY KEY (`id`) #主键ID

) ENGINE=innodb AUTO_INCREMENT=0 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

插入数据:

mysql> INSERT INTO test1_event(username,password,create_time) values('tomcat', 'xiaohuahua',now());

Query OK, 1 row affected (0.00 sec)

mysql> INSERT INTO test1_event(username,password,create_time) values('tomcat', 'xiaohuahua',now());

Query OK, 1 row affected (0.00 sec)

mysql> select * from test1_event;

+----+----------+------------+---------------------+

| id | username | password | create_time |

+----+----------+------------+---------------------+

| 1 | tomcat | xiaohuahua | 2018-09-12 17:18:01 |

| 2 | tomcat | xiaohuahua | 2018-09-12 17:18:39 |

| 3 | tomcat | xiaohuahua | 2018-09-12 17:18:45 |

+----+----------+------------+---------------------+

3 rows in set (0.00 sec)

#创建新表备份旧表的数据来用于示例操作:

mysql> create table test_event as select * from test.test1_event;

Query OK, 3 rows affected (0.04 sec)

Records: 3 Duplicates: 0 Warnings: 0

mysql> select * from test_event;

+----+----------+------------+---------------------+

| id | username | password | create_time |

+----+----------+------------+---------------------+

| 1 | tomcat | xiaohuahua | 2018-09-12 17:18:01 |

| 2 | tomcat | xiaohuahua | 2018-09-12 17:18:39 |

| 3 | tomcat | xiaohuahua | 2018-09-12 17:18:45 |

+----+----------+------------+---------------------+

3 rows in set (0.00 sec)

示例二:创建一个存储过程(给数据表中添加用户和密码并附加创建的时间)

DELIMITER // ### 将语句的结束符号从分号;临时改为两个//(可以是自定义)

DROP PROCEDURE IF EXISTS p_test1//

CREATE PROCEDURE p_test1()

BEGIN

INSERT INTO test_event(username,password,create_time) values('tomcat', 'xiaohuahua',now());

END//

delimiter ; ####将语句的结束符号恢复为分号

查看创建的存储过程详细信息:

mysql> show procedure status;

+------+---------+-----------+----------------+---------------------+---------------------+---------------+---------+----------------------+----------------------+--------------------+

| Db | Name | Type | Definer | Modified | Created | Security_type | Comment | character_set_client | collation_connection | Database Collation |

+------+---------+-----------+----------------+---------------------+---------------------+---------------+---------+----------------------+----------------------+--------------------+

| test | p_test1 | PROCEDURE | root@localhost | 2018-09-12 17:44:40 | 2018-09-12 17:44:40 | DEFINER | | utf8 | utf8_general_ci | utf8_general_ci |

| test | p_test2 | PROCEDURE | root@localhost | 2018-09-07 18:25:54 | 2018-09-07 18:25:54 | DEFINER | | utf8 | utf8_general_ci | utf8_general_ci |

+------+---------+-----------+----------------+---------------------+---------------------+---------------+---------+----------------------+----------------------+--------------------+

2 rows in set (0.00 sec)

或者:

mysql> show procedure status\G

*************************** 1. row ***************************

Db: test

Name: p_test1

Type: PROCEDURE

Definer: root@localhost

Modified: 2018-09-12 17:44:40

Created: 2018-09-12 17:44:40

Security_type: DEFINER

Comment:

character_set_client: utf8

collation_connection: utf8_general_ci

Database Collation: utf8_general_ci

1 row in set (0.00 sec)

mysql查看某个数据库下的所有存储过程函数:

mysql> select `name` from mysql.proc where db = 'test' and `type` = 'PROCEDURE' ;

+---------+

| name |

+---------+

| p_test |

| p_test1 |

| p_test2 |

+---------+

3 rows in set (0.00 sec)

删掉创建的存储过程:

mysql> drop procedure p_test2 ;

Query OK, 0 rows affected (0.00 sec)

mysql> show procedure status;

+------+---------+-----------+----------------+---------------------+---------------------+---------------+---------+----------------------+----------------------+--------------------+

| Db | Name | Type | Definer | Modified | Created | Security_type | Comment | character_set_client | collation_connection | Database Collation |

+------+---------+-----------+----------------+---------------------+---------------------+---------------+---------+----------------------+----------------------+--------------------+

| test | p_test1 | PROCEDURE | root@localhost | 2018-09-12 17:44:40 | 2018-09-12 17:44:40 | DEFINER | | utf8 | utf8_general_ci | utf8_general_ci |

+------+---------+-----------+----------------+---------------------+---------------------+---------------+---------+----------------------+----------------------+--------------------+

1 row in set (0.00 sec)

查看存储过程的创建代码

mysql> show create procedure p_test1\G

*************************** 1. row ***************************

Procedure: p_test1

sql_mode: STRICT_TRANS_TABLES,NO_ENGINE_SUBSTITUTION

Create Procedure: CREATE DEFINER=`root`@`localhost` PROCEDURE `p_test1`()

BEGIN

INSERT INTO test_event(username,password,create_time) values('tomcat', 'xiaohuahua',now());

END

character_set_client: utf8

collation_connection: utf8_general_ci

Database Collation: utf8_general_ci

1 row in set (0.00 sec)

mysql>

解释:

默认情况下,存储过程和默认的数据库相关联,如果先想指定存储过程创建在某个特定的数据库下,那么在过程前面加数据库名做前缀;

在定义过程时,使用DELIMITER // 命令将语句的结束符号从分号 ; 临时改为两个//,使得过程体中使用的分号被直接传递到服务器,而不会被客户端(如mysql)解释。

3.2调用存储过程:call sp_name[(传参)];

实例三:创建一个MySQL定时器调用实例二创建的MySQL存储过程p_test1

提示mysql定时器的创建可以参考此博文:

从2018-09-12 17点47分开始每60秒执行一次

DELIMITER //

CREATE EVENT e_test1

ON SCHEDULE EVERY 60 second STARTS TIMESTAMP '2018-09-12 17:47:00'

ON COMPLETION PRESERVE

DO

BEGIN

CALL p_test1();

END//

delimiter ;

mysql> select * from test_event;

+----+----------+------------+---------------------+

| id | username | password | create_time |

+----+----------+------------+---------------------+

| 1 | tomcat | xiaohuahua | 2018-09-12 17:18:01 |

| 2 | tomcat | xiaohuahua | 2018-09-12 17:18:39 |

| 3 | tomcat | xiaohuahua | 2018-09-12 17:18:45 |

| 0 | tomcat | xiaohuahua | 2018-09-12 17:47:00 |

| 0 | tomcat | xiaohuahua | 2018-09-12 17:48:00 |

| 0 | tomcat | xiaohuahua | 2018-09-12 17:49:00 |

| 0 | tomcat | xiaohuahua | 2018-09-12 17:50:00 |

| 0 | tomcat | xiaohuahua | 2018-09-12 17:51:00 |

+----+----------+------------+---------------------+

21 rows in set (0.00 sec)

实例四:创建一个存储过程并同时开启定时器,定时调用该存储过程向MySQL表test1_event 插入数据

DELIMITER //

DROP PROCEDURE IF EXISTS p_test2//

CREATE PROCEDURE p_test2()

BEGIN

INSERT INTO test1_event(username,password,create_time) values('tomcat', 'xiaohuahua',now());

END//

CREATE EVENT e_test

ON SCHEDULE EVERY 60 second STARTS TIMESTAMP '2018-09-13 18:21:00'

ON COMPLETION PRESERVE

DO

BEGIN

CALL p_test2();

END//

delimiter ;

说明:

在创建的存储过程中设置了需要传参的变量时,调用存储过程的时候,通过传参将数值赋值给存储工程中设置的变量,然后进行存储过程里的SQL操作。

3.3存储过程体

存储过程体包含了在过程调用时必须执行的语句,例如:dml、ddl语句,if-then-else和while-do语句、声明变量的declare语句等

过程体格式:以begin开始,以end结束(可嵌套)

复制代码

BEGIN

BEGIN

BEGIN

statements;

END

END

END

复制代码

注意:每个嵌套块及其中的每条语句,必须以分号结束,表示过程体结束的begin-end块(又叫做复合语句compound statement),则不需要分号。

4、为语句块贴标签

[begin_label:] BEGIN

[statement_list]

END [end_label]

例如:

复制代码

label1: BEGIN

label2: BEGIN

label3: BEGIN

statements;

END label3 ;

END label2;

END label1

复制代码

标签有两个作用:

①增强代码的可读性

②在某些语句(例如:leave和iterate语句),需要用到标签

冰上行走
关注
MySql.rar_MYSQL_mysql example sql_mysql 存储过程_存储过程
09-24
现在,让我们通过一个简单的例子来了解如何在MySQL创建和使用存储过程。假设我们有一个名为`employees`的表,包含`id`, `name`, 和 `salary`字段,我们想计算所有员工薪水的平均值。 首先,创建一个存储过程: `...
MySQL执行异常: Illegal mix of collations (utf8mb4_0900_ai_ci IMPLICIT) and (utf8mb4_general_ci...
热门推荐
zsxcomputer的博客
12-12 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
MySQL中的存储过程一路通关!
qq_44715697的博客
08-29 174
一、什么是存储过程 一种可编程的函数,是为了完成特定功能的SQL语句集。 存储过程就是具有名字的一段代码,用来完成一个特定的功能。 创建存储过程保存在数据库的数据字典中。 二、为什么要存储过程 将重复性很高的一些操作,封装到一个存储过程中,简化了对这些SQL的调用。 批量处理 统一接口,确定数据的安全性 相对于oracle数据库来说,MySQL存储过程相对功能较弱,使用较少。 三、存储过程创建调用 1. DELIMITER $$ 首先声明一点,delimiter与存储过程无关,只是之后的操作
mysql 存储过程 sql注入_存储过程是否可以防止SQL注入
weixin_34198817的博客
02-27 2912
存储过程并不能神奇地阻止SQL注入,但是它们确实使防止注入变得容易得多。您所要做的只是类似以下内容(Postgres示例):CREATEORREPLACEFUNCTIONmy_func(INin_user_id INT)[snip]SELECTuser_id,name,addressFROMmy_tableWHEREuser_id=in_user_id;--BAM! SQL INJECTION I...
SQL注入MySQL注入
weixin_51583033的博客
12-20 883
SQL注入MySQL注入
mysql存储过程 sql注入_pymysql如何解决sql注入问题深入讲解
weixin_39629780的博客
02-08 770
1. SQL 注入SQL 注入是非常常见的一种网络攻击方式,主要是通过参数来让 mysql 执行 sql 语句时进行预期之外的操作。即:因为传入的参数改变SQL的语义,变成了其他命令,从而操作了数据库。产生原因:SQL语句使用了动态拼接的方式。例如,下面这段代码通过获取用户信息来校验用户权限:import pymysqlsql = 'SELECT count(*) as count FROM us...
PHP调用MySQL存储过程并返回值的方法
10-25
PHP作为一种广泛使用的服务器端脚本语言,可以用来调用MySQL存储过程,并且可以获取存储过程返回的值。本文将详细介绍PHP调用MySQL存储过程并获取返回值的方法,并提供使用技巧。 首先,存储过程创建可以使用以下...
php调用MySQL存储过程的方法集合(推荐)
10-27
在PHP中调用MySQL存储过程是数据库交互操作中的一项基本技能。本文将详细介绍PHP中调用MySQL存储过程的几种主要方法。 首先需要明确,PHP原生的mysql扩展已经在PHP 7.0版本被废弃,我们推荐使用mysqli扩展或者PDO...
spring mvc + mybatis 调用mysql 存储过程
04-09
本文将详细讲解如何在Spring MVC和MyBatis集成的项目中调用MySQL存储过程。 首先,让我们理解存储过程的概念。存储过程是在数据库中预编译的一组SQL语句,可以包含输入、输出和内部参数,能够执行复杂的业务逻辑。...
JAVA通过MyBatis调用MySql存储过程和函数doc文档合集整理.zip
03-07
这个文档合集应该详细讲解了这些步骤和最佳实践,帮助开发者熟练掌握在Java中利用MyBatis调用MySQL存储过程和函数的技巧,从而更高效地进行数据库操作。通过深入学习和实践,开发者可以更好地理解这两者之间的交互,...
MSSQL自身存储过程的一个注入.rar
07-09
MSSQL自身存储过程的一个注入
简单易懂SQL注入讲解
weixin_56606020的博客
03-14 788
SQL注入 注入原理:通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 数值型注入: 当输入参数为数字时候可能为数值型,列如:https://123abc.com/tes.php?id=1我们可以在参数后面加 ’ 判断是否存在注入点,如果加 ‘ 后页面报错则有可能存在注入点 也可以用 and 1=1 页面正常 and 1=2 页面出错来判断是否存在.
使用SQL语句创建存储过程
最新发布
@初阶牛的博客
06-11 1万+
本篇文章是记录学校学习SQL server中的存储结构知识,用于复习资料.
MySQL注入秘籍【下篇】
大河之犬的博客
03-22 677
order by注入通常出现在排序中,前端结果展示的表格,某一列需要进行升序或者降序排列,或者做排名比较的时候常常会用到order by排序,order by在select语句中,紧跟在where [where condition]后,且order by注入无法使用预编译来防御,由于order by后面需要紧跟column_name,而预编译是参数化字符串,而order by后面紧跟字符串就会提示语法错误,因此通常防御order by注入需要使用白名单的方式。为MYSQL语句的结束符。
mysql 存储过程 注入_MySQL数据库(六) —— SQL注入攻击、视图、事物、存储过程、流程控制...
weixin_35598104的博客
01-19 328
SQL注入攻击、视图、事物、存储过程、流程控制一、SQL注入攻击1、什么是SQL注入攻击importpymysqlconn=pymysql.Connect(user="root",password="admin",host="localhost",database="day43",charset="utf8")cursor=conn.cursor(pymysql.cursors.DictCurso...
mysql 存储过程 注入_mysql 视图 事务 存储过程 SQL注入
weixin_39967812的博客
01-19 157
视图视图的本质就是一张虚拟的表虚拟表:在硬盘中没有的,通过查询在内存中拼接的表视图:通过查询得到一张虚拟表,保存下来,下次可以直接使用为什么要用视图如果要频繁使用一张虚拟表,可以不用重复查询如何用视图create view teacher_course as select * from teacher inner join course on teacher.id=course.id;creat...
mysql 存储过程 注入_mysql PDO和存储过程动态SQL注入
weixin_29385641的博客
01-19 164
正如我在许多文章中看到的那样,存储过程中的动态SQL容易受到SQL注入的攻击.但是,如果我们将先前的PDO与准备好的语句一起使用,这仍然不安全吗?例:CREATE PROCEDURE my_sp(IN in_var VARCHAR(32))BEGINDECLARE query VARCHAR(255);SET @query = CONCAT("SELECT * FROM my_table WHE...
SQL SERVER 中各种存储过程创建及执行方式
s_156的博客
08-31 5344
SQL SERVER 中各种存储过程创建及执行方式
MySQL存储过程详解与应用
"这篇内容介绍了MySQL存储过程,适合初学者了解和掌握,旨在帮助理解存储过程的概念和用途,以及与存储例程和存储函数的区别。文中还涉及到数据库设计的一个简单示例,包括表结构的定义。" 在数据库管理中,MySQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值