开发学院数据库MySQL MySQL数据库配置技巧 阅读

MySQL数据库配置技巧

 2007-06-18 10:58:21 来源:WEB开发网   
核心提示: 上门这两条命令把这两个文件链接到/dev/null,那么我们的操作就不会被记录到这两个文件里了,MySQL数据库配置技巧(2),编程需要注意的一些问题:不管是用哪种程序语言写连接MySQL数据库的程序,有一条准则是永远不要相信用户提交的数据!对于数字字段,3)MySQL C API:a)检

上门这两条命令把这两个文件链接到/dev/null,那么我们的操作就不会被记录到这两个文件里了。编程需要注意的一些问题:不管是用哪种程序语言写连接MySQL数据库的程序,有一条准则是永远不要相信用户提交的数据!

对于数字字段,我们要使用查询语句:SELECT * FROM table WHERE ID='234',不要使用SELECT * FROM table WHERE ID=234这样的查询语句。MySQL会自动把字串转换为数字字符并且去除非数字字符。如果用户提交的数据经过了mysql_escape_string处理,这样我们就可以完全杜绝了sql inject攻击,关于sql inject攻击请参考下面链接的文章:

  http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf
  http://www.ngssoftware.com/papers/advanced_sql_injection.pdf

各种编程语言该注意的问题:

1)所有Web程序:

a)尝试在Web表单输入单引号和双引号来测试可能出现的错误,并找出原因所在。

b)修改URL参数带的%22 ('"'), %23 ('#'), 和 %27 (''')。

c)对于数字字段的变量,我们的应用程序必须进行严格的检查,否则是非常危险的。

d)检查用户提交的数据是否超过字段的长度。

e)不要给自己程序连接数据库的用户过多的访问权限。

2)PHP:

a)检查用户提交的数据在查询之前是否经过addslashes处理,在PHP 4.0.3以后提供了基于MySQL C API的函数mysql_escape_string()。

3)MySQL C API:

a)检查查询字串是否用了mysql_escape_string() API调用。

4)MySQL++:

a)检查查询字串是否用了escape和quote处理。

5)Perl DBI:

a)检查查询字串是否用了quote()方法。

Tags:MySQL 数据库 配置

编辑录入:coldstar [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接