读网站入侵和脚本攻防笔记
据不完全统计,每20秒就会发生一件网络入侵事件。全球损失大概数百亿;我国百分之九十的网站存在安全问题,这些黑客通过web服务端口80端口进行攻击,web攻击可以改变站点的目录,严重的盗取重要客户的资料。
常见的脚本攻击有:sql脚本注入攻击等;
明白几个SQL中用到的关键词:数据表(table)、记录(data record)、字段(field)、查询(query)、SQL、索引(index)和键(key).
数据表(table):指的是用来存放实际相关数据的框架结构,这种数据表里面的每一行被称为一条数据记录(data record),例如:在我们的网站中有一张是用户表,这个表中可能包含姓名、电话、性别、等多个字段(field)。对于一个数据库的描述被称为数据库模型(database model),它是由这个数据库里面的全体数据表及他们的所有的字段、关系和索引构成的。数据库模型不仅要定义所涉及的各种数据结构的整体框架,还必须同时给出将存放于此处的数据存储格式。
查询(query)和SQL:查询是通过各种SQL指令执行的,SQL指令负责完成筛选和提取结果数据的工作。
索引(index)和主键(primary key):随着数据量的增大,数据库数据量的增大,查询速度往往会因为数据量而受很大的影响,因此为了提高查询速度,需要为数据建立适当的索引。索引虽然提高了速度但是也是存在一些问题的:增加数据库文件在硬盘上的空间占用量。索引必须随原始数据的改变而同步更新才有实际的意义,这样的话在读取数据的时候索引是可以节约时间的;但是在输入或者修改数据的时候,索引反而会降低速度。
数据库管理系统(Database Management System)是一种操作和管理数据库的软件,是用于建立、使用和维护数据库,简称DBMS。目前数据模型比较重要的3中类型:分级模型、网络模型和关系模型。基于关系模型的数据库管理系统,被称为关系型数据库管理系统,简称(RDMS)。目前比较著名的有:Oracle、Sybase、Microsoft SQL Server、Microsoft Access、Mysql.
下面介绍几条重要的SQL语句:
1.数据记录
sql="select * from table where 字段名=字段值 order by 字段名 [desc]";
sql="select * from table where 字段名 like '%字段值%' order by 字段名 [desc]";
sql="select top 10 * from table where 字段名 order by 字段名 [desc]";
sql="select * from table where 字段名 in ('值1','值2','值3')";
sql="select * from table where 字段名 between 值1 and 值2"
2.更新数据记录
sql="update table set 字段名=字段值 where 条件表达式"
sql="update table set 字段1=值,字段2=值2......where 条件表达式"
3.删除添加数据
sql="delete from table where 条件表达式"
sql="delete from table"(将删除所有数据)
sql="insert into table (字段1,字段2,字段3 ....) values (值1,值2,值3.....)"
sql="insert into 目录table select * from 源table"(把源数据表的记录添加到目录数据表)
4.统计函数
avg(字段名) 平均值
count(*|字段名) 数据表行数
max(字段名) table 栏最大值
min(字段名) table 栏最小值
sum(字段名)把数据栏的值相加
sql="select sum(字段名) as 别名 from table where 条件表达式"
set rs=conn.excute(sql)
5.数据表的建立和删除
create table 数据表名称(
字段1 类型1 (长度),
字段2 类型2 (长度),.........
);
删除数据表
drop table 数据表名(永久性删除)