sql条件andor
⑴ 网站安全狗sql注入攻击与防御怎么设置
网站安全狗sql注入攻击与防御怎么设置?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL防护功能主要包括检测URL长度功能和注入的防护规则两部分。下面我们通过实际的攻击实例来阐述该功能:
网站安全狗下载:网站安全狗Apache版|网站安全狗IIS版
网站安全狗sql注入攻击与防御设置教程
1.
超长的URL链接测试
过长的URL对于网站来说有什么危害呢?在网络上,曾有人对过长的URL进行测试发现,过长的URL会对流量产生影响。特别是当如果代码里的超链接写的是长URL时,就会导致网页内容变大,严重影响网站出口宽带的流量。
网站安全狗SQL注入防护功能,可以对URL长度进行设置并且将这个上限值设为通用指标来检测URL长度,当然用户可根据情况自己设定上限值(设置完后记得保存哦)。
具体安全狗设置和测试结果分别如下图所示:
图1
URL防护规则
当IE地址栏浏览长度超过设置的值,网站安全狗就会进行拦截,拦截页面如下:
图2
长链接测试实例
同时,通过网站安全狗的防护日志,我们可以查看到相对应的攻击防御成功的日志记录,截图如下:
图3
长链接防护日志
_#网站安全狗sql注入攻击与防御怎么设置#_
2.网站安全狗的设计是根据攻击特征库,对用户输入进行过滤,从而达到防护SQL注入的目的。
我们以官方第一条默认防护规则为例通过相应的攻击实例来介绍该功能设置。
(1)当我们设置SQL拦截规则的“防止and
or方式注入”的“检测URL”功能为“开启”时候,截图如下:
图4
设置SQL拦截规则
然后我们进行SQL注入,在IE上输入参数,进行SQL注入页面如下:
图5
SQL注入攻击
由于我们已经开启了SQL拦截规则的“防止and
or方式注入”的“检测URL”功能,当进行类似SQL注入时候就会弹出被网站安全狗成功拦截的信息,截图如下:
图6
拦截提示信息
同时在网站安全狗的防护日志中会生成对应的攻击防御成功的日志记录,截图如下:
图7
防护日志
(2)当我们把SQL拦截规则的“防止and
or方式注入”的“检测COOKIE”功能设置为“开启”时候,截图如下:
图8
设置SQL防护规则
通过cookie方式进行SQL注入,注入方式如下图所示:
图9
cookie注入成功截图
_网站安全狗sql注入攻击与防御怎么设置#_
“开启”SQL拦截规则的“防止and
or方式注入”的“检测COOKIE”功能后,当进行类似SQL注入时候就会弹出被网站安全狗成功拦截的信息,截图如下:
图10
拦截提示信息
同时在网站安全狗的防护日志中会生成对应的攻击防御成功的日志记录:
图11
防护日志
(3)把SQL拦截规则的“防止and
or方式注入”的“检测POST内容”功能设置为“开启”,截图如下:
图12
开启检测POST
“开启”之后,通过POST方式进行SQL注入,测试方式如下图所示:
图13
通过POST方式SQL注入
由于已经“开启”了SQL拦截规则的“防止and
or方式注入”的“检测POST内容”功能,这时如果发现类似SQL注入的时候,就会弹出被网站安全狗的拦截信息。截图如下:
图14
拦截提示信息
同时在网站安全狗的防护日志中会生成对应的攻击防御成功的日志记录,截图如下:
图15
防护日志
以上是网站安全狗sql注入攻击与防御设置教程,希望对你有帮助!
⑵ 数据库如何进行有条件的查询
条件
使用where子句对表中的数据筛选,结果为true的行会出现在结果集中
语法如下:
select * from 表名 where 条件;
例:
select * from students where id=1;
1
2
3
where后面支持多种运算符,进行条件的处理
比较运算符
逻辑运算符
模糊查询
范围查询
空判断
比较运算符
等于: =
大于: >
大于等于: >=
小于: <
小于等于: <=
不等于: != 或 <>
例1:查询编号大于3的学生
select * from students where id > 3;
例:查询编号不大于4的学生
select * from students where id <= 4;
1
2
3
4
5
6
逻辑运算符
and
or
not
例:查询编号大于3的女同学
select * from students where id > 3 and gender=0;
1
2
3
模糊查询
like
%表示任意多个任意字符
_表示一个任意字符
例:查询姓黄的学生
select * from students where name like '黄%';
1
2
3
范围查询
in表示在一个非连续的范围内
空判断
注意:null与’'是不同的
判空is null
例:查询没有填写身高的学生
select * from students where height is null;
判非空is not null
1
2
3
4
优先级
优先级由高到低的顺序为:小括号,not,比较运算符,逻辑运算符
and比or先运算,如果同时出现并希望先算or,需要结合()使用
————————————————
⑶ sql怎么选择数据and和or能同时用吗
and和or能同时使用。
如下参考:
1.创建一个测试表Createtabletest_andor(idnumber,valuevarchar2(200)),如下图。
⑷ 求一条sql语句,把数据库表中一个字段里面的数据数字和文字都分开,并且生成一个相对应的列
2 命名规则
2.1 表名
XXX相关表以r_作为前缀,YYY相关表以t_作为前缀。如r_acc 、t_bcc。
后台表名尽量与前台表名相同,后台独有的表应以_b作为后缀。如r_gggd_b。
命名应尽量反映存储的数据内容。
2.2 视图名
视图以v_作为前缀。由于前台无视图,故不需加_b。
命名应尽量体现各视图的功能。
2.3 触发器名
触发器名为相应的表名加上后缀,Insert触发器加'_i',Delete触发器加'_d',Update触发器加'_u',如:r_bch_i,r_bch_d,r_bch_u。
2.4 存储过程名
存储过程应以'sp_'开头,后续部分主要以动宾形式构成,并用下划线分割各个组成部分。如增加BSC机架的DRT单板的存储过程为'sp_ins_board_drt'。
2.5 变量名
变量名采用小写,若属于词组形式,用下划线分隔每个单词,如@my_err_no。
2.6 命名中其他注意事项
以上命名都不得超过30个字符的系统限制。
变量名的长度限制为29(不包括标识字符@)。
数据对象、变量的命名都采用英文字符。禁止使用中文命名。
3 编程结构和描述
SQL SERVER系统中,一个批处理是从客户传给服务器的一个完整的包,可以包含若干条SQL语句。批处理中的语句是作为一组去进行语法分析、编译和执行的。触发器、存储过程等数据对象则是将批处理永久化的方法。
3.1 注释
注释可以包含在批处理中。在触发器、存储过程中包含描述性注释将大大增加文本的可读性和可维护性。本规范建议:
1、 注释以英文为主。
实际应用中,发现以中文注释的SQL语句版本在英文环境中不可用。为避免后续版本执行过程中发生某些异常错误,建议使用英文注释。
2、 注释尽可能详细、全面。
创建每一数据对象前,应具体描述该对象的功能和用途。
传入参数的含义应该有所说明。如果取值范围确定,也应该一并说明。取值有特定含义的变量(如boolean类型变量),应给出每个值的含义。
3、 注释语法包含两种情况:单行注释、多行注释
单行注释:注释前有两个连字符(--),最后以行尾序列(CR-LF)结束。一般,对变量、条件子句可以采用该类注释。
多行注释:符号/*和*/之间的内容为注释内容。对某项完整的操作建议使用该类注释。
4、 注释简洁,同时应描述清晰。
3.2 函数注释:
编写函数文本--如触发器、存储过程以及其他数据对象--时,必须为每个函数增加适当注释。该注释以多行注释为主,主要结构如下:
/************************************************************************
*name : --函数名
*function : --函数功能
*input : --输入参数
*output : --输出参数
*author : --作者
*CreateDate : --创建时间
*UpdateDate : --函数更改信息(包括作者、时间、更改内容等)
*************************************************************************/
CREATE PROCEDURE sp_xxx
…
3.3 条件执行语句if…else
条件语句块(statenemt block,以 begin…end为边界)仅在if子句的条件为真时才被执行。为提高代码的可读性,建议嵌套不多于5层。还有,当嵌套层次太多时,应该考虑是否可以使用case语句。
3.4 重复执行while和跳转语句goto
需要多次执行的语句,可以使用while结构。其中,控制while循环的条件在任何处理开始之前需要先执行一次。循环体中的保留字break无条件的退出while循环,然后继续处理后续语句;保留字continue重新计算while条件,如果条件为真,则从循环开始处重新执行各语句。
使用跳转语句goto和标签label也可以方便地实现循环和其他更灵活的操作。SQL SERVER仅具有单通道语法分析器,因此不能解析对尚未创建的对象所做的前向参考。换言之,跳转到某标签的后续语句应该是可执行的(如不存在可能尚未创建的数据对象)。
3.5 书写格式
数据库服务器端的触发器和存储过程是一类特殊的文本,为方便开发和维护,提高代码的易读性和可维护性。规范建议按照分级缩进格式编写该文本。
顺序执行的各命令位于同一级;条件语句块(statenemt block,以 begin…end为边界)位于下一级,类推。
SQL语句是该文本的主体。为适应某些教复杂的用户需求,SQL语句可能比较庞大。为方便阅读和维护,规范建议按照SQL语句中系统保留字的关键程度再划分为三级。具体分级请参照下表。其中,非系统保留字(如字段名、数据表名、标点符号)相对本级保留字再缩进一级。多个连续的非保留字可以分行书写,也可以写在同一行。当WHERE包含的条件子句教复杂时,应该每行只写一个条件分句,并为重要的条件字句填写单行注释。
在保证基本缩进格式的前提下,可以通过对齐某些重要关键字(如条件关键字AND、OR,符号 = 、 <> 等)来进一步提高文本的易读性和可维护性。
相邻两级的缩进量为10个空格。这也是ISQL编辑器默认的文本缩进量。另外,在ISQL编辑器中,一个TAB键也相当于10个空格。
注:按照功能,四类SQL语句(SELECT、INSERT、UPDATE、DELETE)的关键字可以划分为三类:主关键字、次关键字、一般关键字。如下表所示:
主关键字 次关键字 一般关键字
SELECTINSERT (INTO)UPDATEDELETE FROMWHEREVALUESINSERT…SELECT…FROM语句中的SELECT和FROM ANDORBETWEENINLIKE
3.6 字体
系统保留字应大写,包括系统公共变量等。其他字符(如用户自定义变量、用户自定义数据对象名)小写。
需要特殊强调的部分可以大写。
一条完整注释语句的首字符应大写。对某变量、某条件字句的注释可以全部使用小写。
通过下一节中生成表r_a的删除触发器的实例可以部分说明对象命名、注释、基本书写格式和字符大小写方面的一些注意事项。
4 触发器编程规范
4.1 范例
下面通过一个例子,说明触发器编程中应遵守的规范:
/* delete related r_a according to deleted table */
CREATE TRIGGER r_a_d ON r_a
FOR DELETE
AS
IF @@ROWCOUNT = 0 -no rows deleted
RETURN
/* delete r_b table related to deleted table */
DELETE r_b
FROM r_b b, deleted d
WHERE b.id=d.id
IF @@ERROR != 0
BEGIN
RAISERROR("Error occurred deleting related records", 16, 1)
ROLLBACK TRAN
END
RETURN
作以下几点说明:
1. 检查是否有行被修改。注意:不论数据是否被修改,触发器都会引发,执行情况取决于T-SQL语句的执行,而和任何潜在的where子句是否执行无关。
2. 因为被删除行在该表中不再可用,所以应在被删除的表中查看。
3. 检查T-SQL语句的返回代码,以捕获任何出错条件。
4.2 事务过程中的触发器
1. 触发器内的rollback将所有工作返回至最外层的begin tran,完成触发器内的处理并异常终止当前的批处理。
2. 不可以从触发器内部返回至某个已命名的事务过程,这将产生运行错误,挂起所有工作并终止批处理。
5 存储过程编程规范
5.1 带有参数的执行
在执行存储过程时,可以通过名字来制定参数,这样可以用任何顺序传递参数,而且自动起到注释的作用,因此建议编程时使用这种方法。
5.2 缺省参数值
把参数的缺省值定为null,这是捕获在过程内调用存储过程所产生的错误的常用方法,不应让标准服务器消息报告参数丢失。在给定缺省之后,可以校验该缺省值并在存储过程内采取措施。
注意,当附值SELECT语句不返回行时,局部变量将保持在SELECT语句执行之前所具有的值。建议使用系统提供的某些全局变量(如@@ROWCOUNT)检测SELECT返回的结果。
5.3 返回值
每个存储过程自动返回一个整数型的状态值:成功完成时返回0,而返回-1~-99表示SQL Server检测到了错误。以下为SQL Server系统常用的返回状态码:
值 含义
0 Procere was executed successfully
?-1 Object missing
?-2 Datatype error occurred
?-3 Process was chosen as deadlock victim
? -4 Permission error occurred
?-5 Syntax error occurred
? -6 Miscellaneous user error occurred
?-7 Resource error, such as out of space, occurred
? -8 Non-fatal internal problem encountered
?-9 System limit was reached
??-10 Fatal internal inconsistency occurred
??-11 Fatal internal inconsistency occurred
??-12 Table or index is corrupt
??-13 Database is corrupt
?-14 Hardware error occurred
在程序中,用return语句可指定大于0或小于-99的返回值,调用程序可以设置局部变量接收和检查返回状态。
5.4 存储过程和事务处理
如果事务处理在存储过程返回时的嵌套层次与执行时的层次不同,SQL Server会显示信息提示事务处理嵌套失控。因为存储过程并不异常终止该批处理,在执行和确认随后的语句时,过程内的rollback tran 会导致数据完整性损失。
在编写存储过程时,应遵守以下原则:
1. 过程对@@trancount应无净改变。
2. 仅当存储过程发出begin tran语句时,才发出rollback tran。
5.5 其他注意事项
存储过程应该坚实可靠的,因为它们是驻留在服务器中,被频繁使用的。应仔细检查参数的有效性,并在有问题时返回出错信息。应确保参数的数据类型和被比较的栏的数据类型匹配,从而避免数据类型匹配错误。在每个SQL语句之后要检查@@error。
6 数据对象的国际化
6.1 关于数据对象的命名
数据对象和变量的命名一律采用英文字符。禁止使用中文命名。其他命名注意事项和规范请参考2命名规则。
6.2 关于RAISERROR
SQL SERVER 系统的RAISERROR命令能够把某个出错情况返回给调用过程,这对说明调用过程的执行情况很有必要;同时可以部分避免客户端的冗余操作。另外,结合系统存储过程sp_addmessage和sp_dropmessage可以方便实现数据对象在SQL SERVER端的国际化。
SQL SERVER的MASTER数据库中有错误信息数据表sysmessages,专门用于存储系
⑸ 海盗王 1.38版本 架设 单机 道具包的道具ID无效
在XP上装SQL2005和海盗1.36设置方法(包含3个必要软件下载)
Microsoft .NET Framework 2.0 下载地址
SQL Server 2005 Express简体中文版 (57.2MB) 下载地址(迅雷)
SQLServer2005_SSMSEE (39.8MB) 下载地址(迅雷)
所先下载以上的二个软件.安装过程就不讲了.很简单.
1、安装完成后,运行“SQL Server Configuration Manager“把里面“sql server(SQLEXPRESS)启动。注:登陆身份为“本地服务”。
2、打开“我的电脑”---“控制面板”,新建二个用户:account 和game
3、打开“SQL Server Management Studio Express”,服务器名称选"*****/SQLEXPRESS (***是你的计算机名) 身份验证:windows身份验证
4、追加数据库就不讲了。进入后在”安全性“--”登陆名"中新建用户 第一个用户:*******\account windows身份验证 数据库指定"accountserver" 第二个用户:*******\game windows身份验证 数据库指定“GameDB" 注:*******是你的计算机名
5、到现在数据库已完成。现在对cfg文件进行修改 //海盗王在线游戏AccountServer配置文件 [net] listen_port = 1978 listen_ip = 127.0.0.1 //监听IP地址,用于接受GroupServer的连入 [db] dbserver = HUANG\SQLEXPRESS //这里根据你自己电脑进行修改 db = AccountServer userid = passwd = ;GateServer初始化信息文件 [Main] Name = Gate-dbz1 //本GateServer登录到GroupServer上的唯一名字 Version =135 //本GateServer验证客户端的版本号,如1.01版==101 [GroupServer] IP = 127.0.0.1 //连接的GroupServer侦听GateServer连接的侦听IP地址 Port = 1975 //连接的GroupServer侦听GateServer连接的侦听TCP端口 EnablePing = 1800 //GateServer到GroupServer的Socket连接的KeepAlive值 [ToClient] IP = 0.0.0.0 //GateServer侦听游戏客户端连接的侦听IP地址 Port = 1973 //GateServer侦听游戏客户端连接的侦听TCP端口 CommEncrypt = 1 //到客户端的Socket连接是否打开加密通信 EnablePing = 60 //GateServer到游戏客户端的Socket连接的KeepAlive值初始最大连接 =1000 [ToGameServer] IP = 0.0.0.0 // 应填为内网ip地址 ,GateServer侦听GameServer连接的侦听IP地址 Port = 1972 //GateServer侦听GameServer连接的侦听TCP端口 EnablePing = 180 //GateServer到GameServer的Socket连接的KeepAlive值 [ShowRange] ShowMin = 500 // 小于等于ShowMin时显示正常 ShowMax = 800 // 大于ShowMin并且小于等于ShowMax显示繁忙,大于ShowMax显示满 IsUse=0 ;海盗王在线游戏服务器组GroupServer配置文件 ;GroupServer启动时会检查数据库的system用户表(此表只能有一条记录)的group_startup列,如果此列为0,表示当前没有GroupServer在运行,本GroupServer会正常启动,否则本GroupServer会立即退出以免重复启动 ;GroupServer在exit命令下退出会自动清除此标志以被下次正常启动。 [Main] Name =GroupServerAndor1 //本GroupServer登录AccountServer的唯一名称 Listen_Port =1975 //GroupServer侦听GateServer连接的TCP端口 Listen_IP =0.0.0.0 //GroupServer侦听GateServer连接的IP地址,一般应为内网IP地址 KeepAlive =1800 //如果Socket很久没有数据传输,GroupServer认为Socket处于活动状态的时间,超过此时间没有数据即认为Socket已死 Version =103 //控制连接GateServer版本的版本号,只有版本号属于此数字的GateServer.exe才能连接本GroupServer [AccountServer] AcctEnable =1 //0:关闭AccountServer连接;1:打开AccountServer连接 Password =GroupServerAndor1 //登录AccountServer所使用口令 IP =127.0.0.1 //AccountServer侦听本GroupServer连接的IP地址 Port =1978 //AccountServer侦听本GroupServer连接的TCP端口 [Database] IP =HUANG\SQLEXPRESS //这里根据你自己电脑进行修改 DB =GameDB //数据库名字 Login = //连接数据库所用的用户名 Password = // Game Server 配置文件 // 请填入所有需要建立连接的Gate信息以及该服务器负责运作的地图名称 [标识] name = knightserver1 // 服务器名称, 不能和其他地图服务器重名 equment = 守护神 [网关服务器信息] //gate = 127.0.0.1, 1971 // 连接哪一台Gate服务器, 格式为ip地址,端口 gate = 127.0.0.1, 1972 // 连接哪一台Gate服务器, 格式为ip地址,端口 [地图列表] // 一个或多个地图名 map = garner //白银城 //map = lonetower //寂莫之塔 //map = puzzleworld //mf1 //map = puzzleworld2 //mf2 //map = teampk //98PK [游戏数据库] // 指定数据连接信息 db_ip = HUANG\SQLEXPRESS //这里根据你自己电脑进行修改db_usr = // 进入数据库的帐号 db_pass = // 进入数据库的密码, 此密码是专门工具加密之后的结果 [Socket] keep_alive = 120 [ID基数] // 服务器为角色分配ID的基数, 每个地图server都不同 BaseID = 0x50000000 [实体数目] // 影响内存占用 max_ply = 3 // 玩家数目 max_cha = 20000 // 怪物数目 max_item = 30000 // 道具数目 max_tnpc = 300 // 对话NPC数目 最后下载个136补丁就能进行游戏啦
⑹ if andor or怎么嵌套使用
if和and和or的三者混合嵌套是:IF(AND(条件1,条件2)),IF(OR(条件1,条件2))。
单个IF函数的结构:IF(条件,结果为TRUE返回值,结果为FALSE返回值)。加入逻辑运算符“察态AND”与败蠢源“OR”,则就是在原先的条件判断语句上,加了一层AND或OR,结构是:
IF(AND(条件1,条件2),结果为TRUE返回值,结果为FALSE返回值)。
IF(OR(条件1,条件2),结果为TRUE返回值,结果为FALSE返回值)。
案例:2项都在90分及以上值为"优秀",有1项目90分及以上"良好",否则"一般"。
公式使用:IF(AND(B4>=90,C4>=90),"优秀",IF(OR(B4>=90,C4>=90),"良好","一档族般"))。
注意事项
参数必须能计算为逻辑值,如 TRUE 或 FALSE,或者为包含逻辑值的数组( 用于建立可生成多个结果或可对在行和列中排列的一组参数进行运算的单个公式。数组区域共用一个公式;数组常量是用作参数的一组常量)或引用。
如果数组或引用参数中包含文本或空白单元格,则这些值将被忽略。
如果指定的区域中不包含逻辑值,函数 OR 返回错误值 #VALUE!。
⑺ PL/SQL 问题。。。
在原有的语句基础上,换个思维方式看看:
CREATE OR REPLACE FUNCTION
insert_name_function
RETURN CHAR AS
num NUMBER;
BEGIN
SELECT ABS(DBMS_RANDOM.value(1,2)) INTO num FROM al;
IF num<=1 THEN
RETURN '男'
END IF;
IF num>1 THEN
RETURN '女'
END IF;
END;
不用ELSE就不会报错了吧?
⑻ sql语句中and和or怎么同时使用
1、创建测试表,
create table test_andor(id number, value varchar2(200));