sql server2014支持内存数据库功能. 内存可以说是数据库性能的生命线.理论上,如果内存足够,SQL SERVER可以将所有的数据都装载到内存里,访问.修改什么的,都在内存中进行,只有在checkpoint的时候才写回硬盘.只有内存不够,数据库才会被迫经常Lazy Write,换页. 那么,内存数据库跟以前的将数据装载到内存,有什么区别呢? 我的理解是这样: 1).内存数据库是将指定的表存放于内存,而不是整个库.这是强制行为,并非数据库出于性能考虑,内存充裕时就加载,内存不够时就置换…

Web安全学习笔记 SQL注入下 繁枝插云欣 --ICML8 SQL注入小技巧 CheatSheet 预编译 参考文章 一点心得 一.SQL注入小技巧 1. 宽字节注入 一般程序员用gbk编码做开发的时候,会用 set names 'gbk' 来设定,这句话等同于 setcharacter_set_connection = 'gbk',character_set_result = 'gbk',character_set_client = 'gbk'; 漏洞发生的原因是执行了 set charac…

Web安全学习笔记 SQL注入上 繁枝插云欣 --ICML8 SQL注入分类 SQL注入检测 一.注入分类 1.简介 SQL注入是一种代码注入技术用于攻击数据驱动的应用程序在应用程序中,如果没有做恰当的过滤则可能使得恶意的SQL语句被插入输入字段中执行例如将数据库内容转储给攻击者 2.按技巧分类 根据使用的技巧,SQL注入类型可分为: 1.盲注 布尔盲注:只能从应用返回中推断语句执行后的布尔值时间盲注:应用没有明确的回显只能使用特定的时间函数来判断 2.报错注入: 应用会显示全部或者部分的报错信…

Web安全学习笔记 SQL注入中 繁枝插云欣 --ICML8 权限提升 数据库检测 绕过技巧 一.权限提升 1. UDF提权 UDF User Defined Function,用户自定义函数 是MySQL提供的一个功能 可以通过编写DLL扩展为MySQL添加新函数 扩充其功能 当获得MySQL权限之后 即可通过这种方式上传自定义的扩展文件 从MySQL中执行系统命令 二.数据库检测 1. MySQL sleep sleep(1) benchmark BENCHMARK(5000000, MD5…

sql的范围内查找 (1)between.....and用法 通常情况下我们查找一个在某固定区域内的所有记录,可以采用>=,<=来写sql语句,例如:查找订单价格在1000到2000之间的所有记录,可以这样写: 1 select * from sales.ordervalues 2 where val>=1000 and val<=2000 查询结果: 此处的sales.ordervalues来自于定义的视图,关于视图后续会讲到. 如果采用between.....and.....则…

      刚开始接触sql,于是准备在Ubuntu下学习sql,就跟着itercast的sql教程开始入门了. 下面只是我个人的记录,高手请绕道: 一. 在安装之前,我们可以用下面这个命令通过开放端口查询来看看是否有mysql服务在运行. 当然在安装完后也可以用这个查看是否在运行. $ netstat -tap|grep mysql 如果在运行的话会看到 tcp 0 0 localhost:mysql *:* 二. 用apt-get即可安装: $ sudo apt-get install my…

mysql数据库中有两个函数:concat和updatexml,在sql注入时经常组合使用,本文通过学习concat和updatexml函数的使用方法,结合实例来理解这种sql注入方式的原理. concat函数是mysql的字符串连接函数,定义如下: 先来验证下concat函数的功能: select concat('m','y','s','q','l') 验证结果:如定义所示,concat将字符串连接起来了 如果把SQL语句放在concat中,SQL语句会被执行么? select concat(…

优化sql:思路: 使用explan->先查询type类型看看是all还是ref,然后判断 possible_keys (显示可能应用在这张表中的索引, 一个或多个.查询涉及到的字段是若存在索引, 则该索引将被列出, 但不一定被查询实际使用) : 如果这个值没有达到预期的效果(比如说本来预料到可能使用某个索引但是这里没显示),就去查看sql语句哪里出问题了, 如果这里显示了预料的可能使用的索引,之后再去查看key :这一列,看看是否用到了索引 如果没有索引,再去查看sql语句where条件哪里出…

一.MySQL注入 1. 常用信息查询 常用信息: 当前数据库名称:database() 当前用户:user() current_user() system_user() 当前数据库版本号:@@version version() 系统类型:@@version_compile_os 错误日志存储位置:@@log_error 数据库存储位置:@@datadir 系统数据库: 所有数据库:SELECT group_concat(schema_name) from information_schema.…

一.SELECT 建表及数据填充语句下载:链接: https://pan.baidu.com/s/1WHYafwqKJEKq1kDwCH_Zlg 提取码: 3wy4 SELECT用于指定检索返回的结果.(本例均采用mysql) FROM用于指定检索的表. 例如:SELECT prod_name FROM products; 会检索products表,返回prod_name列. 运行结果如下 SELECT中可以指定多个列,列名直接用“,”隔开. SELECT colName1,colName2,c…