数据库引言

① 求数据库课程设计前言和参考文献

1．《数据库原理及应用》 钱雪忠主编 北京邮电大学出版社 2007，8 第二版
2．《sql server 2000数据仓库与Analysis Services》 Bain T着 中国电力出版社 2003
3．《数据库技术与联机分析处理》 王珊主编 北京科学出版社 1998

② Oracle大型数据库系统的前言

风，紧，
夜，深沉，
剑，已出鞘，
影，飘然前行！
本书的立意和内容
在服务器领域，IBM p系列服务器与AIX操作系统毫无疑问是UNIX服务器领域中的佼佼者，它代表着UNIX深刻的技术内涵和广泛的用户基础。同样地，Oracle是数据库领域事实上的市场领导者，众多IT应用系统采用了Oracle构架，运行Oracle数据库作为其数据支撑节点。目前Oracle用户已经可以升级其数据库到Oracle Database 11g Release 2版本。
实践上，运行在AIX上的Oracle数据库系统是诸多大中型系统的典型配置方式——用户得益于IBM AIX的坚固支撑，受惠于Oracle的可用性保证！
但凡事都有两面性，AIX是一套复杂的UNIX系统，Oracle则是一种“最难”的数据库。对于任何用户而言，了解、熟悉、运用、掌握两者的平台特征和工程技术手段，需要进行大量的学习、培训、实践以及长时间的磨练！广大数据库用户需要一种快捷的学习路径以及可参考资料来帮助他们构建、运行、维护乃至优化自己的系统！
本书的立意即在于此！本书以AIX UNIX平台为主线，以其他UNIX系统为参照，描述了数据库系统Oracle 10g、Oracle 11g的构架方法，说明了该数据库在AIX平台常用的诸多管理方面，提供了在AIX上实施Oracle集群的环境要素说明和实施方法，分析了服务器综合容灾的工程手段和技术方法，综合了在AIX系统上优化Oracle运行环境的诸多做法和要点。最后，本书还以AIX上Sybase ASE数据库系统为对比，论述了Oracle在AIX上的独到特征。
基于上述出发点，本书力争面向工程实践，并面向用户的实际需求展开论述。因此，本书并未刻意在学术上进行高、精、尖的探索，而是力争将复杂的事情简单化，把各技术要点以最简单的形式和大家能了解的方法摆在用户面前！
本书的读者群体
本书的目标读者是那些在UNIX上进行数据库开发、维护、管理、优化任务和高可用设置的工程技术人员，以及从事于这个尖端行业的人群。
从技术角度看，本书所涉及的内容全部是生产实践中必要的过程和阶段。因此，本书并没有试图去描绘一些新鲜热辣的炒作概念或遥不可及的无用内容，而是作为一种可以放在手边的技术专着面向大众，服务于系统用户95%的日常工作需求。正因如此，本书注重细节描述和过程说明，读者无须拥有非常深厚的专业技术基础。
当然，学习的热情和探索的精神是必不可少的！
本书的内容安排
本书共分为五篇，按照数据库项目实施中工作内容的不同方向进行了分组，各篇的内容分述如下。
第一篇 构架篇
本篇侧重在于系统的构架，以及构架中的相关要素和重点。 第1章 了解服务器运行环境
本章力图使读者站到一个足够高的层次和高度来看待服务器技术框架。站得高，则看得必远！
第2章 管理和维护服务器设备和服务
Oracle运行在AIX上，Oracle将使用AIX资源、调用AIX服务，受AIX的运行状态影响。
第3章 管理服务器存储
数据库服务器的一个典型特征就是大量使用磁盘空间来存储数据库数据。Oracle需要AIX提供的存储介质来存储数据。
第4章 构建Oracle环境
Oracle的环境构架相对复杂。用户需要掌握Oracle系统构架的具体工程细节，并获得动手能力。
第二篇 管理篇
本篇结合了AIX系统的诸多特点，综合论述了Oracle在AIX上管理的具体方法和实践行为规范。 第5章 在AIX中Oracle数据库管理
日常管理是一个管理员工作的大部分内容。本章描述了常用的管理内容和做法。
第6章 使用ASM跳过AIX卷空间管理
ASM是Oracle提出的存储管理最新的实施方法。Oracle推荐使用ASM来进行磁盘空间的管理。
第7章 管理AIX下Oracle的空间使用
空间管理是系统管理的重点。Oracle需要各种不同的空间要素，需要管理和维护。
第三篇 灾备篇
本篇站在服务器的层面，综合讲述了在AIX运行Oracle系统所需进行的备份管理工作，以及灾难恢复实施方法。 第8章 设计和实施AIX系统备份
服务器系统的备份工作必须能够兼顾操作系统、应用系统、数据库数据备份的各方面。AIX是备份中重要的一环。
第9章 设计Oracle系统备份
Oracle作为数据库系统，其备份方法和恢复手段与操作系统备份截然不同。按照规范的方法进行备份对恢复有着不言而喻的意义。
续表
第三篇 灾备篇
本篇站在服务器的层面，综合讲述了在AIX运行Oracle系统所需进行的备份管理工作，以及灾难恢复实施方法。 第10章 实施Oracle系统备份
工程上实施数据库备份的方法是百花齐放的。这里讨论了若干种具体实施方法和手段。
第11章 恢复崩溃的系统
防患于未然！好的备份系统是经过恢复测试的系统。让我们看看如何用备份进行系统恢复的！
第四篇 集群篇
在AIX平台上RAC集群是一种广泛使用的结构。本篇即针对集群展开讨论。 第12章 构建AIX下的Oracle集群环境
集群是实现Oracle系统网格与高可用的主要技术手段，尤其在AIX承担的关键业务系统中。
第13章 在AIX中管理Oracle集群环境
集群的管理有其自身特色，包括集群件管理、集群服务的管理。
第五篇 优化篇
好的系统需要进行预先的优化结构设计，并在系统运行中进行渐近的再优化。本篇以项目周期为阶段，描述了系统优化的各个过程和方面。 第14章 在AIX上综合设置Oracle环境
系统在构建时，要综合考虑可用性和性能之间的关系，并设置和优化系统。
第15章 AIX上Oracle系统的运行优化
在系统运行过程中，应用性能会随时变化，性能的检查和优化也需随时进行。动态地、渐进式地分析与调整也就十分必要。
第六篇 扩展篇
通过与Sybase ASE的对比来了解什么是Oracle。 第16章 AIX上Oracle与Sybase的比较
Sybase ASE与Oracle同为可在AIX上运行的数据库系统。两种产品中各有特点、各有优势、同样优秀。
本书从构思到最终完成，历时两年时间，其间更改数十稿。单独讲述UNIX不难，单独讲述Oracle不难，但把二者结合起来，站在整个系统的高度来说明问题，却让本书作者难以着手——千头万绪，该写的内容太多！
致谢
本书内容来源于实践，用户即是最佳的实践来源。感谢山东海化集团王凤鸣先生、中国电信青海公司陈宇峰先生、福建公司陈亮先生等人的鼎力支持。本书中若干技术观点和实践总结来源于作者为该单位提供数据库顾问服务的工作现场。感谢他们和作者在工作与技术领域上的不断探讨，这促进了本书内容的不断完善！
在本书编写过程中，很多复杂的、结构性的实验在北京时代朝阳数据库技术中心Trail实验室完成。北京时代朝阳数据库技术中心是一家有着17年企业历史的数据库专业技术机构，精于数据库产品与服务。这里有多样化的UNIX平台、各种集群构架、不同容灾环境等，这为本书所涉及的各项结构性实践提供了可能。感谢Trail实验室各位同事的配合。另外，考虑到本书在部分章节上存在一定难度，为保证本书的可读性，作者也请Trail实验室中参加Oracle职业/就业课程的若干学员试读了本书，感谢他们提出的诸多意见！
感谢本书策划编辑胡辛征先生的热心鼓励和积极推动，感谢文字编辑江立女士的细心编审和中肯点评。没有他们的细致工作和鼓励，本书不能顺利出版。
最后，感谢博文视点以知识传播的方式对中国IT产业的支持——以其广博文字选题，以其超然视点出版！
祝博文视点从成功走向辉煌！
本书作者：文平
2009-09-20于北京
目录第一篇构架篇
第1章了解服务器运行环境
1.1 AIX：一种成熟的UNIX
1.1.1 AIX系统构成要素
1.1.2登录AIX系统
1.1.3 RS6000服务器结构
1.1.4 AIx系统管理界面
1.1.5 AIX中使用的Shell
1.1.6 AJx存储组织结构
1.1.7 AJx换页空间（交换区）
1.1.8 AIX文件系统结构
1.1.9 AJx对象数据管理
1.1.10 AIX当前进程运行
1.1.11 AIX用户访问过程
1.1.12 AIX各种服务提供
1.1.13 AIX网络通信设置
1.1.14 AIX中的常用操作
1.2 Oracle与AIx系统
1.2.1 Oracle与AIX的角色
1.2.2 Oracle系统典型特征
1.2.3系统全局区SGA
1.2.4程序全局区PGA
1.2.5 Oracle后台进程
1.2.6 Oracle数据库物理结构
1.2.7数据库数据存放
1.2.8数据库的用户访问
第2章管理和维护服务器设备和服务
2.1管理AIX中的设备
2.1.1 AIX使用设备类型
2.1.2 AIX的设备分层管理
2.1.3 ODM对象数据库
2.1.4设备的状态特征查看
2.1.5设备的配置和检测
2.1.6设备属性信息查看
2.1.7创建主机硬件配置档案
2.2管理AIX中的服务
2.2.1系统资源控制器的启动
2.2.2系统资源的启动和关闭
2.2.3系统资源的刷新
2.2.4通常启动的资源
2.3 AIX系统错误处理
2.4 AIX系统硬件诊断
2.5 AIX系统日志查看
第3章管理服务器存储
3.1 AIX存储基本框架
3.2 AIX的存储概念要素
3.2.1物理卷和卷组
3.2.2逻辑卷和逻辑分区
3.2.3AIX日志文件系统
3.2.4文件系统挂载和目录树
3.3系统存储结构的管理
3.3.1系统中的卷组定义信息
3.3.2增加、删除和设置卷组
3.3.3卷组中物理磁盘的改变
3.3.4卷组重组提高磁盘性能
3.3.5卷组的活动状态管理
3.3.6卷组的导入导出管理
3.3.7逻辑卷的创建和维护
3.3.8通过镜像保护逻辑卷
3.3.9通过条带优化逻辑卷
3.3.10物理卷的设置和管理
第4章构建Oracle环境
第二篇管理篇
第5章在AIX中Oracle数据库管理
第6章使用ASM跳过AIX卷空间管理
第7章管理AIX下Oracle的空间使用
第三篇灾备篇
第8章设计和实施AIX系统备份
第9章设计Oracle系统备份
第10章实施Oracle系统备份
第11章恢复崩溃的系统
第四篇集群篇
第12章构建AIX下的Oracle集群环境
第13章在AIX中管理Oracle集群环境
第五篇优化篇
第14章在AIX上综合设置Oracle环境
第15章AIX上Oracle系统的运行优化
第六篇扩展篇
第16章AIX上Oracle与Sybase的比较

③ 如何设计合理高效的数据库

一、 引言数据库对于企业信息化的重要性是不言而喻的。数据库存储着现代企业最重要的数据，包括生产、经营、管理等各类数据，这些数据作为企业的核心信息，通过各类信息系统，为用户提供及时准确的信息，帮助用户分析，为用户提供决策依据。为提高企业的工作效率，提升企业形象，具有传统模式无法比拟的优势。其中构建合理高效的数据库，是数据库建设关键之一。如何构建合理高效的数据库是企业信息化过程要解决的问题。下面就数据库的构建谈谈自己的一些经验，希望能对大家有所帮助。 二、 设计数据库之前
数据库并不是凭空想象出来的，而是根据业务部门的需要设计符合业务需求的数据库。因此在形成数据库之前需要充分了解业务需求。 1. 充分理解业务需求。需求分析是整个设计过程的基础，是最困难、最耗费时间的一步。在这期间通过与业务部门交流，了解用户的想法以及工作流程，通过双方多次交流，会形成初步的数据模型，当然这时的数据模型不会是最终的模型，还需要和用户进行交流，并且在以后的信息系统开发过程中还会反复修改。 2. 重视输入输出。在定义数据库表和字段需求（输入）时，首先应了解数据产生源和数据流程，也就是必需要知道每个数据在那儿产生，数据在那儿表现，以什么样的形式表现等等，然后根据用户提供的报表或者设计出的报表、查询和视图（输出）以决定为了支持这些输出哪些是必要的表和字段。 3. 创建数据字典和ER 图表。ER 图表和数据字典可以让任何了解数据库的人都明确如何从数据库中获得数据。ER图对表明表之间关系很有用，而数据字典则说明了每个字段的用途以及任何可能存在的别名。对SQL 表达式的文档化来说这是完全必要的。 需要注意的是，在需求分析调研过程中，并不是一帆风顺的，因为业务人员对于业务的理解不同，以及对于信息知识的缺乏，会影响需求分析的质量，为了提高质量，各方要用更多的时间交流与相互理解，业务部门需要精通业务的人员自始至终全力配合，而开发人员则尽量使用用户理解的业务术语交流，这样会避免出现理解不同而产生的歧义。 三、 设计合理的表结构
通常合理的表结构会减少数据冗余，提高数据库的性能。设计合理的表结构要遵循以下两点。 1. 标准化和规范化 数据的标准化有助于消除数据库中的数据冗余。标准化有好几种形式，但3NF(第三范式)通常被认为在性能、扩展性和数据完整性方面达到了最好平衡。简单来说，遵守3NF标准的数据库的表设计原则是：某个表只包括其本身基本的属性，当不是它们本身所具有的属性时需进行分解。表之间的关系通过外键相连接。它具有以下特点：有一组表专门存放通过键连接起来的关联数据。 例如：某个存放单井信息及其有关油井生产日报信息的3NF数据库就有两个表：单井基础信息和油井日报信息。日报信息不包含单井的任何信息，但表内会存放一个键值，该键指向单井基础信息里包含该油井信息的那一行。 不过也有例外，有时为了效率的缘故，对表不进行标准化也是必要的。 2. 考虑各种变化 在设计数据库的时候考虑到哪些数据字段将来可能会发生变更。使数据库更具扩展性，从而减少将来数据变更所带来的损失。 例如，日期类型字段，有时我们会考虑使用字符类型代替日期类型，因为在处理日期字段上容易产生数据错误，所以我们就使用字符类型。这样的例子还很多，在做前期设计时都要考虑的。 表结构的设计不是一次就能成功的，在信息系统开发过程中会存在数据读取、录入或统计困难，为了解决这些问题会修改表结构，或增加一些字段，或修改一些字段的属性。这个过程不断重复，因此不要想一次能成功。建议使用专门设计工具来做这些工作，笔者经常使用：SYBASE PowerDesigner ，当然还有其它的工具：ORACLE Designer 2000 ，ROSE等工具。这样会使你的工作事半功倍。 四、 选择合理的索引
索引是从数据库中获取数据的最高效方式之一。95%的数据库性能问题都可以采用索引技术得到解决。 1. 逻辑主键使用唯一的成组索引，对系统键（作为存储过程）采用唯一的非成组索引，对任何外键列采用非成组索引。考虑数据库的空间有多大，表如何进行访问，还有这些访问是否主要用作读写。 2. 大多数数据库都索引自动创建的主键字段，但是可别忘了索引外键，它们也是经常使用的键，比如运行查询显示主表和所有关联表的某条记录就用得上。 3. 不要索引大型字段（有很多字符），这样作会让索引占用太多的存储空间。如MEMO(备注)、TEXT(文本)等字段。 4. 不要索引常用的小型表 不要为小型数据表设置任何键，假如它们经常有插入和删除操作就更别这样作了。对这些插入和删除操作的索引维护可能比扫描表空间消耗更多的时间。如代码表，或系统参数表。 五、 保证数据完整性
数据的完整性非常重要，这关系到数据的准确性，不准确的数据是毫无价值的，因此保证数据的完整性非常重要。 1. 完整性实现机制：实体完整性：主键参照完整性： 父表中删除数据：级联删除；受限删除；置空值父表中插入数据：受限插入；递归插入 父表中更新数据：级联更新；受限更新；置空值 DBMS对参照完整性可以有两种方法实现：外键实现机制（约束规则）和触发器实现机制用户定义完整性：NOT NULL；CHECK；触发器 以上完整性机制需要熟悉和掌握，它对于数据的完整性非常重要。 2. 用约束而非业务规则强制数据完整性 采用数据库系统实现数据的完整性。这不但包括通过标准化实现的完整性而且还包括数据的功能性。在写数据的时候还可以增加触发器来保证数据的正确性。不要依赖于业务层保证数据完整性；它不能保证表之间（外键）的完整性所以不能强加于其他完整性规则之上。 3. 强制指示完整性 在有害数据进入数据库之前将其剔除。激活数据库系统的指示完整性特性。这样可以保持数据的清洁而能迫使开发人员投入更多的时间处理错误条件。 4. 使用查找控制数据完整性 控制数据完整性的最佳方式就是限制用户的录入。只要有可能都应该提供给用户一个清晰的价值列表供其选择。这样将减少键入代码的错误和误解同时提供数据的一致性。某些公共数据特别适合查找：性别代码、单位代码等。 5. 采用视图 视图是一个虚拟表，其内容由SQL语句定义，视图不仅可以简化用户对数据的理解，也可以简化他们的操作。那些被经常使用的查询可以被定义为视图，从而使得用户不必为以后的操作每次指定全部的条件。另外通过视图用户只能查询和修改他们所能见到的数据。数据库中的其它数据则既看不见也取不到。数据库授权命令可以使每个用户对数据库的检索限制到特定的数据库对象上，增强数据的安全性。 六、 结束语
数据库的高效运行不仅需要技术上的支持，也需要硬件平台和网络的支持以及数据库管理员的有效管理，本文只是从技术的角度说明如何提高数据库的效率，但在实际应用过程中其它方面的支持也是不可缺少的，尤其是数据库管理，数据库建设是“三分技术，七分管理，十二分基础数据”，因此对于数据库管理一定要重视，在管理到位的情况下技术才能发挥应有的作用。

④ Oracle数据库基本知识

Oracle数据库基本知识

Oracle Database，又名OracleRDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统。本文为大家分享的是Oracle数据库的基本知识，希望对大家有所帮助!

它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的适应高吞吐量的数据库解决方案。

介绍

ORACLE数据库系统是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的一组软件产品，是目前最流行的客户/服务器(CLIENT/SERVER)或B/S体系结构的数据库之一。比如SilverStream就是基于数据库的一种中间件。ORACLE数据库是目前世界上使用最为广泛的数据库管理系统，作为一个通用的数据库系统，它具有完整的数据管理功能;作为一个关系数据库，它是一个完备关系的产品;作为分布式数据库它实现了分布式处理功能。但它的所有知识，只要在一种机型上学习了ORACLE知识，便能在各种类型的机器上使用它。

Oracle数据库最新版本为OracleDatabase 12c。Oracle数据库12c引入了一个新的多承租方架构，使用该架构可轻松部署和管理数据库云。此外，一些创新特性可最大限度地提高资源使用率和灵活性，如Oracle Multitenant可快速整合多个数据库，而Automatic Data Optimization和Heat Map能以更高的密度压缩数据和对数据分层。这些独一无二的技术进步再加上在可用性、安全性和大数据支持方面的主要增强，使得Oracle数据库12c 成为私有云和公有云部署的理想平台。

就业前景

从就业与择业的角度来讲，计算机相关专业的大学生从事oracle方面的技术是职业发展中的最佳选择。

其一、就业面广：ORACLE帮助拓展技术人员择业的广度，全球前100强企业99家都在使用ORACLE相关技术，中国政府机构，大中型企事业单位都能有ORACLE技术的工程师岗位，大学生在校期间兴趣广泛，每个人兴趣特长各异，不论你想进入金融行业还是电信行业或者政府机构，ORACLE都能够在你的职业发展中给你最强有力的支撑，成为你最贴身的金饭碗。

其二、技术层次深：如果期望进入IT服务或者产品公司，Oracle技术能够帮助提高就业的深度。Oracle技术已经成为全球每个IT公司必选的软件技术之一，熟练掌握Oracle技术能够为从业人员带来技术应用上的优势，同时为IT技术的深入应用起到非常关键的作用。掌握 Oracle技术，是IT从业人员了解全面信息化整体解决方案的基础。

其三、职业方向多：Oracle数据库管理方向、Oracle开发及系统架构方向、Oracle数据建模数据仓库等方向。

Oracle数据库漏洞分析：无需用户名和密码进入你的数据库

一般性的数据库漏洞，都是在成功连接或登录数据库后实现入侵;本文介绍两个在2012年暴露的Oracle漏洞，通过这两种漏洞的结合，可以在不掌握用户名/密码的情况下入侵Oracle，从而完成对数据的窃取或者破坏。这两个漏洞就是CVE-2012-1675和CVE-2012-3137。

引言

国内外很多重要的系统都采用Oracle作为数据存储的数据库;在Oracle中存储着企业或政府大量敏感的信息，在金钱或政治的诱导下，内外部黑客会想法利用管理、网络、主机或数据库的自身漏洞尝试入侵到数据库中，以达到自身的目的。

本文的作者通过对Oracle俩种漏洞的组合研究，设计了一套在不掌握用户名/密码的方式入侵到Oracle中;这种方法，比传统的需要登录到数据库中的入侵方法，具有更大的安全隐患和破坏性。

本文希望通过对这两个漏洞和攻击方法的介绍，能够引起相关人员的重视，完善对数据库安全的措施。

1、概要介绍

本文提供的方法是基于漏洞CVE-2012-1675和CVE-2012-3137对oracle数据库的攻击测试的方法。

CVE-2012-1675漏洞是Oracle允许攻击者在不提供用户名/密码的'情况下，向远程“TNS Listener”组件处理的数据投毒的漏洞。攻击者可利用此漏洞将数据库服务器的合法“TNS Listener”组件中的数据转向到攻击者控制的系统，导致控制远程组件的数据库实例，造成组件和合法数据库之间的中间人攻击、会话劫持或拒绝服务攻击。

CVE-2012-3137漏洞是Oracle Database 10g/11g身份验证协议实现中存在一个设计缺陷，攻击者无需认证即可远程获取数据库用户密码哈希相关数据，从而可以离线暴力破解用户密码，进一步控制数据库系统。

我们通过如下的步骤和过程可以实现对Oracle的入侵：

(1)利用CVE-2012-1675进行TNS劫持，在监听下利用远程注册，注册同名数据库实例;

(2)新登陆的用户，在TNS的负载均衡策略下，有可能流量登录到伪造的监听服务上;

(3)该监听服务对用户的登陆过程进行监控，并将相关数据流量转发到真实的数据库上;

(4)利用CVE-2012-3137获得通讯过程中的认证相关信息;

(5)对认证相关信息进行离线的暴力破解，获得登陆的密码;

(6)试用破解的用户名/密码登陆Oracle，完成对Oracle中数据的访问;

2、通过CVE-2012-1675进行TNS劫持

该漏洞存在于Oracle的所有版本，并且Oracle至今仅是发布了警告性通知，并未提供解决方案。

要想利用CVE-2012-1675漏洞做TNS劫持，首先需要了解TNS机制。如下图所示oracle 通过在本地解析网络服务名到目标主机IP地址，服务端口号，目标数据库名，把这些信息发送到oracle服务器端监听程序，最后再由监听程序递送DBMS。

其中关键点在于监听会按照目标数据库名递送到名称正确的数据库。那么如果一个监听下有2个同名数据库。监听将自动按照负载均衡把这次访问发送到负载低的数据库上，进行连接访问。数据库注册到监听的方法就决定了，能否同时注册同名数据库在同一个监听下。注册方式分为本地注册和远程注册，通过修改参数可以调整为远程注册。

下面是一段可用的TNS劫持的过程：

1.在劫持机上创建一个和目标数据库实例同名的数据库实例。

2.在劫持机上修改 tnsnames.ora 文件

添加

listener_name=

(DESCRIPTION=

(ADDRESS=(PROTOCOL=tcp)(HOST=目标机器IP)(PORT=目标机器端口)))

3.在劫持机上用SQL*Plus 顺序执行下面步骤。

1.$ sqlplus / as sysdba

2. SQL> ALTER SYSTEM SETREMOTE_LISTENER='LISTENER_NAME';

3. SQL> ALTER SYSTEM REGISTER;

4.多个客户端，向数据库发起登录。会劫持到一部分客户端的登录信息。

最终达到效果如下图所示：

按照猜想同一个监听下有2个同名实例。客户端访问监听，监听按照客户端中的数据库名信息分配数据库，由于监听下有2个同名数据库，客户端链接很可能会被分配到劫持者的数据库实例下，再通过配置劫持者的本地监听把客户端请求指回原数据库。结构图如下：

测试客户端链接196次。目标数据库实例获得113次，劫持数据库实例获得83次基本满足负载均衡的假设。(注上面实例是local server 下面实例是 remote server)

通过以上方式我们可以截获约一半左右客户端发送到服务器的合法链接。其中获得了服务器IP、端口号、数据库位置、实例名、登录用户名等一系列明文信息和4组密文信息(AUTH_SESSKEY，AUTH_SESSKEY_CLIENT，AUTH_PASSWORD，AUTH_VFR_DATA)。

3、通过CVE-2012-3137进行密码破解

CVE-2012-3137受影响的数据库版本有11.2.0.3，11.2.0.2，11.1.0.7,有使用了SHA-1加密算法的10.2.0.5和10.2.0.4，还有使用了SHA-1的10.2.0.3(运行在z/OS下)版本。

虽然这个漏洞在11.2.0.3中已经解决，但是仅仅数据库客户端和服务器都升级到11.2.0.3并且sqlnet.ora文件中增加SQLNET.ALLOWED_LOGON_VERSION=12才有效。

正如CVE-2012-3137所描述Oracle为了防止第三方通过网络获取登录信息包。而对密码进行了加密处理。本部分只以oracle11.1密码如何破解为例进行说明。

在发起连接之后(oracle牵手完成)，客户端和服务器经过协商确定要使用的验证协议。要完成这个任务，客户端首先向数据库发送一个包。包中包含客户端主要信息和所请求的加密方式。数据库确认加密方式有效后，发送一个确认服务包如下图所示：

在通过安全网络服务完成任何所要求的协议之后，数据库用户被O3logon(oracle验证方式) 进行验证，这个协议执行一个序列来向数据库证明客户端拥有密码。为了避免网络第三方截获到密码。首先客户端发送用户名到数据库来表明用户身份。数据库端根据加密协议，其中96位的作为数据库端密钥，20位的作为偏移量，它对每个连接都是不同的。一个典型的数据库端发给客户端的密钥如下：

AUTH_SESSKEY.....COCDD89FIGODKWASDF……………………

客户端根据加密算法向服务器端发送96位的客户端密钥和64位的密码密钥。服务器端计算客户端传入的密码密钥。如果计算后密码密文和数据库中存储的16位密码密文一致则验证通过。

根据这个过程可知上面TNS劫持包中取得的加密信息：AUTH_SESSKEY，AUTH_SESSKEY_CLIENT，AUTH_PASSWORD，AUTH_VFR_DATA这四个值是解密的关键。我们把他们按照SHA1,MD5，AES192进行一系列处理。最终通过数据字典碰撞得到密码明文。

下面这段网上公布的一段示例代码，这段代码与笔者的思路不完全相同，但也能大概地说明这个漏洞的攻击过程：

import hashlib

from Crypto.Cipher import AES

def decrypt(session,salt,password):

pass_hash= hashlib.sha1(password+salt)

key =pass_hash.digest() + 'x00x00x00x00'

decryptor= AES.new(key,AES.MODE_CBC)

plain =decryptor.decrypt(session)

returnplain

session_hex ='6EAAB5422553A7598143E78767'

salt_hex = 'A7193E546377EC56639E'

passwords = ['test','password',''oracle','demo']

for password in passwords:

session_id= decrypt(session_hex.decode('hex'),salt_hex.decode('hex'),password)

print'Decrypted session_id for password "%s" is %s' %(password,session_id.encode('hex'))

ifsession_id[40:] == 'x08x08x08x08x08x08x08x08':

print'PASSWORD IS "%s"' % password

break

4、建议的预防措施

根据以上两段分析，我们可以有如下的预防措施：

(1)在条件许可的情况下，对Oracle进行补丁升级，对Oracle打cpuoct2012-1515893补丁;注意对于cpuoct2012-1515893补丁要求服务器端和应用服务器端同时升级，否则应用系统将无法访问Oracle;

(2)若无法对Oracle升级，要购买或安装具备虚拟补丁功能的数据库安全产品，防止对CVE-2012-3137和CVE-2012-1675的利用;

(3)建立足够强健的口令，不要使用8位以下密码，或者字典库中的口令。

;

⑤ 数据库设计说明书有没有范文

正文

1 引言

1．1编写目的

说明编写这份数据库设计说明书的目的，指出预期的读者。

1．2背景

说明：

a．说明待开发的数据库的名称和使用此数据库的软件系统的名称；
b．列出该软件系统开发项目的任务提出者、用户以及将安装该软件和这个数据库的计算站（中心）。

1．3定义

列出本文件中用到的专门术语的定义、外文首字母组词的原词组。

1．4参考资料

列出有关的参考资料：

a．本项目的经核准的计划任务书或合同、上级机关批文；
b．属于本项目的其他已发表的文件；
c．本文件中各处引用到的文件资料，包括所要用到的软件开发标准。

列出这些文件的标题、文件编号、发表日期和出版单位，说明能够取得这些文件的来源。

2 外部设计

2．1标识符和状态

联系用途，详细说明用于唯一地标识该数据库的代码、名称或标识符，附加的描述性信息亦要给出。如果该数据库属于尚在实验中、尚在测试中或是暂时使用的，则要说明这一特点及其有效时间范围。

2．2使用它的程序

列出将要使用或访问此数据库的所有应用程序，对于这些应用程序的每一个，给出它的名称和版本号。

2．3约定

陈述一个程序员或一个系统分析员为了能使用此数据库而需要了解的建立标号、标识的约定，例如 用于标识数据库的不同版本的约定和用于标识库内各个文卷、、记录、数据项的命名约定等。

2．4专门指导

向准备从事此数据库的生成、从事此数据库的测试、维护人员提供专门的指导，例如将被送入数据 库的数据的格式和标准、送入数据库的操作规程和步骤，用于产生、修改、更新或使用这些数据文卷的操 作指导。 如果这些指导的内容篇幅很长，列出可参阅的文件资料的名称和章条。

2．5支持软件

简单介绍同此数据库直接有关的支持软件，如数据库管理系统、存储定位程序和用于装入、生成、修 改、更新数据库的程序等。说明这些软件的名称、版本号和主要功能特性，如所用数据模型的类型、允许 的数据容量等。列出这些支持软件的技术文件的标题、编号及来源。

3 结构设计

3．1概念结构设计

说明本数据库将反映的现实世界中的实体、属性和它们之间的关系等的原始数据形式，包括各数据项、记录、系、文卷的标识符、定义、类型、度量单位和值域，建立本数据库的每一幅用户视图。

3．2逻辑结构设计

说明把上述原始数据进行分解、合并后重新组织起来的数据库全局逻辑结构，包括所确定的关键字和属性、重新确定的记录结构和文卷结构、所建立的各个文卷之间的相互关系，形成本数据库的数据库管理员视图。

3．3物理结构设计

建立系统程序员视图，包括：

a．数据在内存中的安排，包括对索引区、缓冲区的设计；
b．所使用的外存设备及外存空间的组织，包括索引区、数据块的组织与划分；
c．访问数据的方式方法。

4 运用设计

4．1数据字典设计

对数据库设计中涉及到的各种项目，如数据项、记录、系、文卷、模式、子模式等一般要建立起数据字典，以说明它们的标识符、同义名及有关信息。在本节中要说明对此数据字典设计的基本考虑。

4．2安全保密设计

说明在数据库的设计中，将如何通过区分不同的访问者、不同的访问类型和不同的数据对象，进行分别对待而获得的数据库安全保密的设计考虑。

⑥ 紧急，需要数据库论文一份，希望各位大虾帮忙啊

学校教材定购系统 1．引言 随着教学质量的提高，对软件质量的要求也越来越高，因此，教师、学生对教材的订购了越来越重视，希望获取教材的过程简单，方便，快速，因而，做一个好的订购系统是十分重要的。 订购是指教师或学生向工作人员提供要采购的教材，经工作人员审查后，发给教师或学生发票，然后去书库去领取教材，但工作人员发现书库中缺货时，要及时的向采购部报告，采购部要及时的进货，然后，工作人员来修改记录。 1．1 编写的目的 需求分析的任务是确定系统必须完成哪些工作，就是对目标系统提出完整、准确、 清晰、具体的要求。 此教材订购系统的编写目的是，让用户以及工作人员充分了解本产品而设立的，它说明了本产品的各种功能和性能需求，明确各种功能的实现背景，以及适用的范围及背景。提供客户解决问题和达到目标所需要的条件，提供一个度量和遵守的基准。 1．2 背景 工程的名称：学校教材订购系统开发公关项目。 工程产品的名称：学校教材订购系统。 工程组织者：南昌航空工业学院038062班学生。 工程使用者：南昌航空工业学院教务处。 产品用户：教师，学生。 产品设计者：南昌航空工业学院038062班学生。 1．3 定义 教材订购顾名思义就是领取和购买教材。 订购系统的主要内容是，利用计算机来实现教材的采购，以及教材的销售，只要教师或学生凭发票就可以领取自己的教材，如果某种教材脱销时，则要登记缺书，有采购部去采购，一旦新书入库，要及时的更改记录。 需求用户解决问题或达到目标所需的条件或权能；系统或系统部件要满足合同、标准、规范或其它正式规定文档所需具有的条件或权能。 需求量分析包括提炼、分析和仔细审查已收集到需求，以确保所有的风险承担者都明白其含义并找出其中的错误、遗憾或其它不足的地方。 模块的独立性是指软件系统中每个模块只涉及软件要求的具体的子功能，而和软件系统中其他的模块的接口是简单的。 1．3 参考资料 软件工程导论-------------------------张海藩 主编 清华大学出版社 软件开发项目管理--------------------刘积仁、康晓东、饶友玲 主编 人民邮电出版社 2． 任务概述 2．1 目标： 本系统可细化为两个子系统：销售系统和采购系统 销售系统的工作过程为：首先由教师或学生提交购书单，经教材科发行人员审核是有效购书单后，开发票、登记并返给教师或学生领书单，教师或学生即可去书库领书。 采购系统的主要工作过程为：若是脱销教材，则登记缺书，发缺书单给 书库采购人员；一旦新书入库后，即发进书通知。 下面给出系统的初步概图,方便用户和读者充分认识本系统的最初实现情况,并对系统有个初步的了解,也方便开发人员把握开发方向,最终实现本系统。 出库表 缺书登记表 待购教材表 教材库存表 进库表 购书表 进书通知 2．2 用户的特点： 本系统用户的特点：本软件的最终用户可分为操作人员、维护人员。 其中，操作人员要求对计算机有一定了解的企业技术人员。最好能熟练运用计算机所用操作系统，精通所用系统功能， 维护人员要求对本系统有较深的了解，同时对系统相关信息及工作流程有所了解的技术人员。 本系统主要在学期开学发书、学期结束订书时大幅度使用，这时候也是本系统最需要维护的时候，所以在这时候要对本系统进行必要的检修，防止数据出错。 2．3 假设与约束 设计的约束或实现约束描述在设计或实现应用系统时应遵守的限制条件。其并不是要取代设计（实现）过程，只是说明用户或环境强加给项目的限制条件。 本系统的限制条件是： 当书库中书籍发生改变时，要及时修改相关书籍的记录。 在实现销售和采购的工作过程中，要考虑相关的合法性。 系统的外部项要包括：教师、学生、教材工作人员。 系统的相关数据存储包括：购书表，库存表，缺书登记表，待购教材表，进库表和出库表。 3． 需求规定 3．1 对功能的规定 本系统在向学生售书时主要输入学生学号、班级代号、购书数量、购书书名信息，然后打印领书单返回给学生领取书籍。 本系统在查询数据库时主要输入需要查询的相关信息，包括图书编号、图书书名、出版社信息、图书特色等信息方便操作人员把握图书信息。 本系统还兼顾一点财务信息的管理，在发生单人购书时，系统直接向购书者收取现金，内部形成一个小小的财务管理。 本系统还和学校的财务科发生数据交换，发生集体售书时，学根据数据的有效性，直接向集体售书，形成的财务信息直接和财务科交换，方便结算。即：向学生集体售书时不需要直接收取现金，而待教材科结算时向财务科提交数据，由财务科从学生的预交书费里扣除，保证教材科财务信息的完整。 3．2 对性能的规定 对系统中输入的数据要按照数据字典的规定严格输入，尽量避免数溢出处和数据的不合法性。 3．2．1 精度 要求查询切换之间的时间控制以秒为单位。 3．2．2 时间特性要求 在软件方面，响应时间、更新处理时间、数据传送和转换时间、处理和解决问题时间，都比较迅速，完全满足用户要求。 3．2．3 灵活性 当操作方式、数据结构、与其它软件接口等发生变化时，设计的软件要做一些适当高速整，灵活性非常大。 3．3 输入输出要求 3．4 数据管理能力的要求 3．5 故障处理要求 4． 运行环境规定 4．1 设备 使用Windows NT 或 Windows 2000 Server以上操作系统。 4．2 支持的软件 4．3 接口 在显示器上完成相应的功能，在windows xp或windows 2000server 系统下安装此软件。 4．4 控制 二． 数据需求说明书 1． 引言 1．1 编写的目的 数据需求说明书的编制目的是为了向整个开发时期提供关于处理数据的描述和数据采集要求的技术信息。 1．2 背景 因为每个教师教学时所用的教材是不同的，所以，采购部就需要购买的书籍也就不同，并且，因为系别的不同，所使用的教材也就不同，书库中，书籍的脱销也是经常发生的，就需要采购部购买此种书籍，这时，就要修改书库中此种书籍的记录。所以，数据的流通是非常多且乱的，所以呢，数据需求说明书是非常必要的。 1．3 定义 1．4 参考资料 2． 数据的逻辑描述 2．1 静态数据 2．2 动态输入数据 动态输入数据是有后勤工作人员控制的，包括 2．3 动态输出数据 2．4 内部生成数据 2．5 数据约束 3．数据的采集 3．1 要求和范围 3．2 输入的承担者 3．3 处理 3．4 影响 在整个需求说明书中，数据占了绝大多数，需求说明书是为后面的编程作铺垫的，如果需求说明书中出现错误的话，那整个系统就会出现错误，而在整个需求说明书中数据出现错误的概率是非常大的，所以，数据的说明书是非常重要的，这样可以减少软件系统中错误。 三．概要设计说明书 概要设计说明书可称作系统设计说明书，这里说的系统是指程序系统。 引言 1．1 编写目的 编写的目的是说明对程序的系统的设计考虑，包括程序系统的基本处理流程、程序系统的组织结构、模块划分、功能分配、接口设计、运行设计、数据结构设计和出错处理设计等，为程序的详细设计提供基础。 在本阶段中，确定如何具体的实现所要求的系统，从而在编码阶段可以把这个描述直接翻译成具体的程序语言书写的程序。主要工作有：根据《学校教材订购系统需求分析说明书》所描述的数据、功能性能需求、处理流程、总体结构和模块设计，涉及软件系统的结构设计、逐个模块的程序描述。 1.2 背景 “学校教材订购系统”有两部分组成：销售系统和采购系统。 销售系统的工作过程为：首先由教师或学生提交购书单，经教材发行人员审核是有效购书单后，开发票、登记并返给教师或学生领书单，教师或学生即可去书库领书。 采购系统的主要工作过程为：若是脱销教材，则登记缺书，发缺书单给书库采购人员；一旦新书入库后，即发进书通知给教材发行人员。 1.3 定义 库存表：存放库中存在得书籍数据。 出库表：存放已销售的书籍的数据。 入库表：存放入库书籍的数据。 购书表：存放提交的购书信息。 缺书登记表：存放缺少的书籍的信息。 待购教材表：存放待购书籍信息。 1.3 参考资料 软件工程导论---------------------- 张海藩 主编 清华大学出版社 数据库系统概论------------------萨师煊、王珊 主编 高等教育出版社 学校教材订购系统需求分析说明书---------------------软件开发小组 总体设计 2.1 需求规定 为方便教师、学生领书，教材发行人员处理各种单据，以及采购人员采购需开发一个“学校教材订购系统”。教师后学生提交购书单，经教材发行人员审核是有效购书单后，开发票、登记并返给教师或学生领书单，教师或学生即可去书库领书。若是脱销教材，则登记缺书，发缺书单给书库采购人员；一旦新书入库后，即发进书通知给教材发行人员。 要求系统能有效、快速、安全、可靠和无误的完成上述操作。并要求界面简单明了，易于操作，数据库利于维护。 2.2 运行环境 Windows xp 系统中或windows 2000 server 中。 2.3 基本设计概念和处理流程 2.4 结构 2.5 功能需求与程序的关系 2.6 人工处理过程 2.7 尚未解决的问题 接口设计 2.8 用户接口 2.9 内部接口 2.10 外部接口 4. 运行设计 4.1 运行模块组合 4.2 运行控制 4.3 运行时间 5. 系统数据结构设计 5.1 逻辑结构设计要点 5.2 物理结构设计要点 5.3 数据结构与程序的关系 6. 系统出错处理设计 6.1 出错信息 6.2 补救措施 6.3 系统维护设计 四. 详细设计说明书 1 引言 1.1 编写目的 1.2 背景 1.3 定义 1.4 参考资料 2 程序系统的组织结构 3 程序1（标识符）设计说明 3.1 程序描述 3.2 功能 销售子系统模块：提交购书单、审核购书单、开发票、登记购书纪录、返回领书单、修改和维护数据库中相应的表。 采购子系统模块：发缺书单、登记缺书纪录、拟订待购书信息、发进书通知单、修改和维护数据库中相应的表。 3.3 性能 ① 精度：购书是由需求决定的，只要有缺书现象则会体现出来，但也因为这样，如果需要提前多购相关书籍的话，则需要管理人员的参与。 ② 时间特性要求：定购需要提前若干天。 ③ 可靠性：较高 ④ 灵活性：在购书单未审核时，可以撤消订购或修改，一旦审核，则不能再修改 3.4 输入项 销售子系统模块：需要输入购书单中要求的信息（提交人姓名、书名、书号、数量、身份识别码）。 采购子系统模块：需要输入缺书单中要求的信息（书名、书号、数量）。 3.5 输出项 销售子系统模块：需要打印领书单（书名、书号、数量、领书人姓名），发票（书名、书号、开票人姓名、交易金额、交易日期）。 采购子系统模块：需要打印进书通知单（书号、书名、进书日期）。 3.6 算法 3.7 流程逻辑 销售子系统模块程序流程图：

⑦ 求数据库在备份与恢复中的安全策略研究的论文

数据库在备份与恢复中的安全策略研究 郭小雪 该文说明了数据库管理中备份与恢复的概念,分析数据库的备份与恢复对数据库安全的作用,得到了数据库备份与恢复的策略。【作者单位】：茂名学院理学院 广东茂名525000【关键词】：数据库安全;备份;恢复;策略【分类号】：TP309.3【DOI】：CNKI:SUN:DZJC.0.2007-10-013【正文快照】：1引言信息技术的发展离不开数据库技术的不断发展,从dBASE、FoxBASE、FoxPro、Access,到Microsoft SQL Server、Sybase SQL Server、Oracle,数据库的规模越来越大,其功能也越来越强大[1]。数据库在各种商务活动中重要性的不断增强,维护系统数据的安全已成为当前一个十分重要的课题。为了有效地保持健康的数据库系统,必须采取一定的措施防止在由介质、操作系统、软件和其他事件导致重要数据库文件严重损坏的情况下影响DBMS,进而影响数据库系统的正常运行[2]。2备份与恢复的基本概念2.1备份备份就是把数据库复制到转储设备的过程。… http://www.cnki.com.cn/Article/CJFDTEMP-DZJC200710013.htm