MySQL第43天------视图SQL注入问题事务存储过程

Posted zhouyi0316

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了MySQL第43天------视图SQL注入问题事务存储过程相关的知识,希望对你有一定的参考价值。

一、视图

  定义:本质是一张虚拟的表,数据来自select语句

  用途:原表安全  1.隐藏部分数据,开放指定的数据  2.因为视图可以将查询的结果保存特性,所以可以用视图来减少书写sql语句的次数

  创建:create view test_view as select *from t1;

  特点:1.每次对视图进行的查询,其实都是再次执行了as后面的查询语句

     2.可以对视图进行修改,修改会同步到原表

     3.视图是永久储存的,存储的不是数据,而是一条as sql语句

二、sql注入问题

当用户输入的用户名为字符串 为 yy‘ -- 时
最终产生的sql select *from user where user = ‘yy‘ -- ‘ and pwd = ‘987657890‘;
-- 用于mysql注释 意思是 后面的内容忽略掉
从而导致 密码是否正确都能登录成功
"select *from user where user = ‘axxax‘ or 1=1;

 

什么是sql注入攻击

一些了解sql语法的 用户 可以输入一些关键字 或合法sql 来导致原始的sql逻辑发生变化 从而跳过登录验证 或者 删除数据库
如何避免 在接受用户输入的数据时 可以加上限制 比如 不能输 -- ‘ ; where 等等
上面这种方式 只能避免 黑客 从你的客户端软件注入 sql
但是无法避免 中间人攻击(在你的客户端和服务器中间加一个中转服务器)
这样就绕过了客户端的输入限制 此时 只能将 sql合法性验证放在服务器端

总结:把你的sql(用户输入的)参数,放execute函数的arg参数中,让pymysql自动帮你屏蔽注入攻击

三、事务

  定义:一组sql语句集合

  特性:1.原子性:事务是一个整体,不可分割

     2.隔离性:事务之间要相互隔离,为了维护数据完整性

          脏读:一个事务读到了另一个事务未提交的数据。查询之前要保证所有的更新都已经完成

          幻读:一个查询事务没有结束的时候,数据被另一个数据执行插入或查询

          不可重复读:一个事务在查询另一个事务的时候,另一个事务在修改

            四种隔离级别:读未提交、读已提交、可重复读(默认)、串行化

     3.一致性:当事务执行后,所有的数据都是完整的

     4.持久性:一旦事务提交,数据就永久保存

  强调:事务就是一堆sql语句的集合,要么全部执行,要么全部不执行

     mysql默认开启自动提交,一条sql语句就是一个单独的事务

     pymysql默认不是自动提交,需要手动commit,意思是手动开启了事务

  start transaction开启一个事务

  commit提交事务

  rollback回滚事务

四、存储过程

  定义:mysql的编程语言

  用途:可以将你的程序业务逻辑放到mysql里来处理,可以降低网络访问次数,从而提高程序的效率

  开发模式:1.应用程序处理逻辑,需要手动编写sql语句  优点:执行效率高  缺点:开发效率低

       2.应用程序mysql处理逻辑,mysql开发者编写  优点:应用程序开发效率高  缺点:执行效率略低,沟通成本高

       3.使用ORM对象关系映射,自动生成对应的sql语句  优点:开发效率很高  缺点:执行效率低

  语法:create procedure 过程的名称 ({in,out,inout} 数据类型 参数名称)

     begin 具体的sql代码 end 参数前面需要指定参数的作用

     in 表示该参数用于传入数据

     out 用于返回数据

     inout 即可传入,也可返回

  总结:实际上一个mysql中的类似函数的东西,我们可以用它实现一些逻辑处理

     特点:里面可以包含流程控制语句和普通的sql语句

        使用存储过程的优势,提高应用程序的开发效率,降低网络访问次数





以上是关于MySQL第43天------视图SQL注入问题事务存储过程的主要内容,如果未能解决你的问题,请参考以下文章

(2020上半年第7天)小迪网络安全笔记(操作①)mysql基本注入流程演示

(2020上半年第7天(SQL注入-MYSQL注入(SQL注入2/10)))小迪网络安全笔记

MySQL学习第三天事务和视图

(2020上半年第9天(SQL注入-提交注入注入(SQL注入4/10)))小迪网络安全笔记

(2020上半年第7天)小迪网络安全笔记(操作③)Mysql注入中的权限问题

(2020上半年第10天)小迪网络安全笔记(操作①)SQL参数报错注入演示