热门标签： c c# c++ asp asp.net linux php jsp java vb Python Ruby mysql sql access Sqlite sqlserver delphi javascript Oracle ajax wap mssql html css flash flex dreamweaver xml

详谈SQL注入

现在越来越多的程序员使用B/S模式来编写程序。但是由于程序员的水平及经验不近相同，所以相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使得应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。
SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。
但是，SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析，构造巧妙的SQL语句，从而成功获取想要的数据，是高手与“菜鸟”的根本区别。
根据国情，国内的网站用ASP+Access或SQLServer的占70%以上，PHP+MySQ占L20%，其他的不足10%。在本文，我们从分入门、进阶至高级讲解一下ASP注入的方法及技巧，PHP注入的文章由NB联盟的另一位朋友zwell撰写，希望对安全工作者和程序员都有用处。了解ASP注入的朋友也请不要跳过入门篇，因为部分人对注入的基本判断方法还存在误区。大家准备好了吗？Let's Go... ......

PL/SQL 中 AutoReplace 配置

经常进行查询，写着select * from 太费时间，能不能直接输入一个s 就能自动出来 select * from 吗？
发现pl/sql中可以配置自动替换
在PL/SQL的安装目录下面：$\PLSQL Developer\PlugIns 中添加一个文本文件，比如命名为:AutoReplace.txt。文本文件中填写如下内容：
st = select t.* ,t.rowid from   t
s = select a.* from     a
d = delete from     where
u = update   a set a.   where a.
w = where
打开PL/SQL，在Tools->Perferences->Editor中Autoreplace选择配置的AutoReplace.txt文件
然后Tools->Perferences->Key Configuration 中，配置一下Editor:AutoReplace 中把快捷键设置一下。
ok了。 ......

SQL server 2005 部分系统存储过程说明

*存储过程*/
sp_databases --列出服务器上的所有数据库
sp_server_info --列出服务器信息，如字符集，版本和排列顺序
sp_stored_procedures--列出当前环境中的所有存储过程
sp_tables --列出当前环境中所有可以查询的对象
sp_start_job --立即启动自动化任务
sp_stop_job --停止正在执行的自动化任务
sp_password --添加或修改登录帐户的密码
sp_configure --显示(不带选项)或更改(带选项)当前服务器的全局配置设置
sp_help --返回表的列名，数据类型，约束类型等
sp_helptext --显示规则，默认值，未加密的存储过程，用户定义的函数，
--触发器或视图的实际文本
sp_helpfile --查看当前数据库信息
sp_dboption --显示或更改数据库选项
sp_detach_db --分离数据库
sp_attach_db --附加数据库
sp_addumpdevice --添加设备
sp_dropdevice --删除设备
sp_pkeys --查看主键
sp_fkeys --查看外键
sp_helpdb --查看指定数据库相关文件信息
sp_addtype --自建数据类型
sp_droptype --删除自建数据类型
sp_rename --重新命名数据库
sp_executesql --执行SQL语句
sp_addlogin --添加登陆
sp_droplogin --删除登录
sp_grantdbaccess --把用户映射到登录，即� ......

SQl 语句(常见) 新建,删除,修改表结构

新建表：
create table [表名]
(
[自动编号字段] int IDENTITY (1,1) PRIMARY KEY ,
[字段1] nVarChar(50) default '默认值' null ,
[字段2] ntext null ,
[字段3] datetime,
[字段4] money null ,
[字段5] int default 0,
[字段6] Decimal (12,4) default 0,
[字段7] image null ,
)
删除表：
Drop table [表名]
插入数据：
INSERT INTO [表名] (字段1,字段2) VALUES (100,'51WINDOWS.NET')
删除数据：
DELETE from [表名] WHERE [字段名]>100
更新数据：
UPDATE [表名] SET [字段1] = 200,[字段2] = '51WINDOWS.NET' WHERE [字段三] = 'HAIWA'
新增字段：
ALTER TABLE [表名] ADD [字段名] NVARCHAR (50) NULL
删除字段：
ALTER TABLE [表名] DROP COLUMN [字段名]
修改字段：
ALTER TABLE [表名] ALTER COLUMN [字段名] NVARCHAR (50) NULL
重命名表：(Access 重命名表，请参考文章：在Access数据库中重命名表)
sp_rename '表名', '新表名', 'OBJECT'
新建约束：
ALTER TABLE [表名] ADD CONSTRAINT 约束名 CHECK ([约束字段] <= '2000-1-1')
删除约束：
ALTER TABLE [表名] DROP CONSTRAINT 约束名
新建默认值
ALTER TABLE [表名] ......

Excel导入到SQL的一个新思路

/*
比如Excel有两列，A列和B列需要导入到SQL表中，反正我已经有几年不用DTS之类的工具了。
在Excel中的新的一列中，直接写公式
=CONCATENATE("Insert #tmp values('",A1,"','",B1,"')")
把每一行都设成同样的公式(双击即可完成)。
把整列复制下来，放到查询分析器中直接运行就好了。
也可以把公式改成 =CONCATENATE("select '",A1,"','",B1,"' Union all")
这样的好处多
1: 不用管你什么格式，绝对不会乱。
2：快捷方便（列数不太多的话一般一分钟之内可以搞定）
3: 不会出错，甚至都不需要核对。
......
*/
转自：http://topic.csdn.net/u/20091020/08/2162e737-577f-4f0c-9a4c-592ba97c698c.html?seed=1969593865&r=60535884#r_60535884
......

工作中积攒的几个自定义SQL函数

    工作中积攒的几个自定义SQL函数:
-- =============================================
-- Author:  <Author,,Name>
-- Create date: <Create Date, ,>
-- Description: 字符串切割函数
-- =============================================
ALTER function [dbo].[Split]
(
@Text nvarchar(4000),
@Sign nvarchar(4000)
)
returns @tempTable table(id int identity(1,1) primary key,[value] nvarchar(4000))
AS
begin
     declare @StartIndex int                --开始查找的位置
     declare @FindIndex int                --找到的位置
     declare @Content    varchar(4000)      --找到的值
     set @StartIndex = 1
     set @FindIndex=0
  & ......

总记录数:40319; 总页数:6720; 每页6 条; 首页上一页 [6151] [6152] [6153] [6154] 6155 [6156] [6157] [6158] [6159] [6160] 下一页尾页