山那边是海 发表于 2015-1-16 22:34:51

MYSQL网站制作之冲破一流信息监控拦阻体系举行SQL打针

这一切听起来不错,无疑DBaaS具有很多相对于RDBMS的优势。然而MySQL学习教程,DBaaS也有其局限性,云服务中固有的局限性就是之一。当客户开始将数据放入云端时,他们会遭遇到无法控制的网络性能问题。监控bylake2(http://lake2.0x54.org)
上回浸透一站点,SQLInjection测试时前往这个页面()

我晕,本来服务器上装了一个叫“一流信息监控拦阻体系”的BT玩艺儿,失望!查查它老底先。
Google一下“一流信息监控拦阻体系”。本来这是广州××信息科技公司开辟的内容监控体系,用来监控拦阻不法信息的,固然也包含SQL打针。它主页上软件功效先容鲜明写着:“软件能够周全拦阻任何的SQL注进式的打击,就算多差的程序都不必忧虑了”。嘿嘿,年老,牛皮不要吹得太年夜哟,否则怎样好上台啊。
看他把话说得那末尽,我必定要给他点色彩瞧瞧。呵呵,不是说只要想不到没有做不到么,嗯,让我想一想先。网上没有找到那软件下载,算啦,就间接在网站上测试好了。
经由几次合测试,我发明谁人软件是拦阻自力的关头词,也就是拦阻字符串“and”,而不会拦阻包括“and”的字符串如“island”。提交http://xxx/x.asp?x=island1=2时没成绩,而提交http://xxx/x.asp?x=aand1=1时就被拦阻了。
呵呵,分明了吧,实践上程序要辨别究竟是不是完整婚配真正拦阻的字符串是空格+关头词+空格(本例中就是“and”)。假如用ASP代码暗示的话就是:
IfInstr(1,StrQuest,“and“,1)Then
Response.Write(“一些空话”)
Response.End
EndIf
拦阻道理弄懂了,成绩是怎样冲破呢?往下看。
关头字是要打针要用到的,乱动不得,就只要从空格动手了。呵呵,想一想甚么东东能够取代空格啊,对,就是Tab!如今我修正URL用tab取代and前后的两个空格,呵呵,看看吧(Tab-->“%09”,空格-->“%20”)。

Yeah,乐成啦!传说中的一流信息监控拦阻体系被我们绕已往了。哈哈,谁人甚么体系恰好是个毛病百出的Web程序,呵呵,持续依样画葫芦举行SQL打针拿办理员帐号暗码得WebShell,那些都是膂力活了,略过略过。
有了WebShell,实行“netuser”命令又被他拦阻了(这个可爱的家伙……),呵呵,小case啦,那就实行“netuser”(两头两个空格)吧^_^
固然这类用Tab取代空格冲破限定的办法也不单单范围于“一流信息监控拦阻体系”,只需是相似的过滤办法就行。好比说青创文章体系(Version1.5.2.23.7.0),它就是这类过滤办法,可是还过滤了“_”,而它的每一个表都是article_xxx的情势,了局仍是不克不及举行猜解。罢休!
最初特地说下,一流信息监控体系“能够及时监控用户上传到服务器的每张图片”、“对利用服务器的用户举行关头字监控,不管是经由过程FTP体例上传或web体例上传的文件都能够正确监控,将犯科用户的举动纪录在案”等功效,仿佛侵占隐私权了……
DBaaS向客户提供了许多与其他云服务相类似的优势:一个灵活的、可扩展的MySQL学习教程、按需服务的平台,它以自助服务和便捷管理为导向,可以对环境中的资源进行调配。

不帅 发表于 2015-1-19 17:26:17

不好!如果出了错;不好调试;不好处理!其实web开发将代码分为3层:web层;业务逻辑层和数据访问层;一般对数据库的操作都在数据访问层来做;这样便于调试和维护!而且将来如果是换了数据库的话;你只需要改数据层的代码;其他层的基本可以不变!要是你在jsp中直接调用sql数据库;那么如果换了数据库呢?岂不都要改?如果报了异常呢?怎么做异常处理?

简单生活 发表于 2015-1-19 17:26:17

另一个是把SQL语句写到服务器端,就是所谓的SP(存储过程);

柔情似水 发表于 2015-1-28 09:09:12

始终遗憾SQLServer的登陆无法分配CPU/内存占用等指标数。如果你的SQLServer给别人分配了一个只可以读几个表的权限,而这个家伙疯狂的死循环进行连接查询,会给你的系统带来很大的负担。

深爱那片海 发表于 2015-2-5 19:10:06

多加的系统视图和实时系统信息这些东西对DBA挑优非常有帮助,但是感觉粒度还是不太细。

老尸 发表于 2015-2-13 06:23:17

然后最好有实践机会,能够把实践到的和实践结合起来,其实理论思考是个非常困扰和痛苦的事情

冷月葬花魂 发表于 2015-3-3 16:55:23

光写几个SQL实在叫无知。

再见西城 发表于 2015-3-11 12:06:57

学习SQL语言的话如果要学会去做网站就不是很难!但是要做数据库管理的话就有难度了!

小妖女 发表于 2015-3-18 10:40:21

比如,MicrosoftSQLServer2008的某一个版本可以满足现在的这个业务的需要,而且价格还比Oracle11g要便宜,那么这一产品就是适合的。

小女巫 发表于 2015-3-25 17:36:11

SQLServer的异构移植功能个人感觉最好了。(如果对比过SQLServer的链接服务器和Oracle的透明网关的朋友会发现SQLServer的sp_addlinkedserver(openquery)异构数据库系列比Oracle真是强太多了。)
页: [1]
查看完整版本: MYSQL网站制作之冲破一流信息监控拦阻体系举行SQL打针