MySQL-學習-快速入門/注入攻擊

weixin_34075268發表於2017-12-06

1. 介紹

4265870-726fe72dc12fefad.png

表頭(header): 每一列的名稱;
列(col): 具有相同資料型別的資料的集合;
行(row): 每一行用來描述某個人/物的具體資訊;
值(value): 行的具體資訊, 每個值必須與該列的資料型別相同;
鍵(key): 表中用來識別某個特定的人\物的方法, 鍵的值在當前列中具有唯一性。

2. MySQL中的資料型別

數字型別 :
整數: tinyintsmallintmediumintintbigint
浮點數: floatdoublerealdecimal
日期和時間: datetimedatetimetimestampyear

字串型別 :
字串: charvarchar
文字: tinytexttextmediumtextlongtext
二進位制(可用來儲存圖片、音樂等): tinyblobblobmediumbloblongblob
每種資料型別對應不同的大小(位元組)-點選詳情


3. 使用MySQL資料庫

>>>登入到MySQL
mysql -h 主機名 -u 使用者名稱 -p    # 我電腦上輸入 mysql -u root -p,會彈出輸入密碼請求,輸入密碼後即可開啟

自己的電腦可以直接輸入mysql -u root -p
-h : 該命令用於指定客戶端所要登入的MySQL主機名, 登入當前機器該引數可以省略;
-u : 所要登入的使用者名稱;
-p : 告訴伺服器將會使用一個密碼來登入, 如果所要登入的使用者名稱密碼為空, 可以忽略此選項。
以登入剛剛安裝在本機的MySQL資料庫為例, 在命令列下輸入 mysql -u root -p 按回車確認, 如果安裝正確且MySQL正在執行, 會得到以下響應:
Enter password:
若密碼存在, 輸入密碼登入, 不存在則直接按回車登入, 按照本文中的安裝方法, 預設 root 賬號是無密碼的。登入成功後你將會看到 Welecome to the MySQL monitor... 的提示語。

然後命令提示符會一直以 mysql>加一個閃爍的游標等待命令的輸入, 輸入 exitquit 退出登入。

>>>建立一個資料庫

使用 create database 語句可完成對資料庫的建立, 建立命令的格式如下:

create database 資料庫名 [其他選項];

例如我們需要建立一個名為 samp_db 的資料庫, 在命令列下執行以下命令:

create database samp_db character set gbk;    # Mac終端輸入後出現提示:Query OK, 1 row affected (0.01 sec)

為了便於在命令提示符下顯示中文, 在建立時通過 character set gbk 將資料庫字元編碼指定為gbk。建立成功時會得到 Query OK, 1 row affected(0.02 sec)的響應。

注意:samp_db 是資料庫的名字,資料庫裡面有很多表格table,後面的students就是表table,從一開始進入 資料庫,那時候顯示的是 所有資料庫的名稱 show databases; ,而你必須選中一個資料庫,比如 use samp_db ,選中後呢,再檢視這個資料庫中所有的表 show tables; ,注意區分這些哦。

注意: MySQL語句以分號(;)作為語句的結束, 若在語句結尾不新增分號時, 命令提示符會以 -> 提示你繼續輸入(有個別特例, 但加分號是一定不會錯的);

提示: 可以使用 show databases; 命令檢視已經建立了哪些資料庫。

>>>選擇所要操作的資料庫

要對一個資料庫進行操作, 必須先選擇該資料庫, 否則會提示錯誤:
ERROR 1046(3D000): No database selected
兩種方式對資料庫進行使用的選擇:

一: 在登入資料庫時指定, 命令: mysql -D 所選擇的資料庫名 -h 主機名 -u 使用者名稱 -p

例如登入時選擇剛剛建立的資料庫: mysql -D samp_db -u root -p

二: 在登入後使用 use 語句指定, 命令: use 資料庫名;

use 語句可以不加分號, 執行 use samp_db 來選擇剛剛建立的資料庫, 選擇成功後會提示: Database changed

>>>建立資料庫表

使用 create table 語句可完成對錶的建立, create table 的常見形式:

create table 表名稱(列宣告);

以建立 students 表為例, 表中將存放 學號(id)、姓名(name)、性別(sex)、年齡(age)、聯絡電話(tel) 這些內容:

    create table students
    (
        id int unsigned not null auto_increment primary key,
        name char(8) not null,
        sex char(4) not null,
        age tinyint unsigned not null,
        tel char(13) null default "-"
    );

對於一些較長的語句在命令提示符下可能容易輸錯, 因此我們可以通過任何文字編輯器將語句輸入好後儲存為 createtable.sql 的檔案中, 通過命令提示符下的檔案重定向執行執行該指令碼

開啟命令提示符, 輸入: mysql -D samp_db -u root -p < createtable.sql

( 提示: 1. 如果連線遠端主機請加上 -h 指令; 2. createtable.sql 檔案若不在當前工作目錄下需指定檔案的完整路徑。)

>>>語句解說:

create table tablename(columns) 為建立資料庫表的命令, 列的名稱以及該列的資料型別將在括號內完成;

括號內宣告瞭5列內容,idnamesexagetel為每列的名稱, 後面跟的是資料型別描述, 列與列 (必須是列與列,python才能實現物件化) 的描述之間用逗號, 隔開;

"id int unsigned not null auto_increment primary key"行進行介紹:

"id"為列的名稱;
"int" 指定該列的型別為 int(取值範圍為 -8388608到8388607), 在後面我們又用"unsigned" 加以修飾, 表示該型別為無符號型, 此時該列的取值範圍為 0到16777215;
"not null"說明該列的值不能為空, 必須要填, 如果不指定該屬性, 預設可為空;
"auto_increment" 需在整數列中使用, 其作用是在插入資料時若該列為 NULL, MySQL將自動產生一個比現存值更大的唯一識別符號值。在每張表中僅能有一個這樣的值且所在列必須為索引列。
"primary key" 表示該列是表的主鍵, 本列的值必須唯一, MySQL將自動索引該列。
下面的 char(8) 表示儲存的字元長度為8, tinyint的取值範圍為 -127到128, default 屬性指定當該列值為空時的預設值。

提示: 1. 使用 show tables; 命令可檢視已建立了表的名稱; 2. 使用 describe 表名; 命令可檢視已建立的表的詳細資訊。


4. 操作MySQL資料庫

>>>向表中插入資料

insert 語句可以用來將一行或多行資料插到資料庫表中, 使用的一般形式如下:

insert [into] 表名 [(列名1, 列名2, 列名3, ...)] values (值1, 值2, 值3, ...);

其中 [ ] 內的內容是可選的, 例如, 要給 samp_db 資料庫中的 students表插入一條記錄, 執行語句:

insert into students values(NULL, "王剛", "男", 20, "13811371377");

按Enter鍵確認後若提示 Query Ok, 1 row affected (0.05 sec)表示資料插入成功。 若插入失敗請檢查是否已選擇需要操作的資料庫。

有時我們只需要插入部分資料, 或者不按照列的順序進行插入, 可以使用這樣的形式進行插入:

insert into students (name, sex, age) values("孫麗華", "女", 21);
>>>查詢表中的資料

select 語句常用來根據一定的查詢規則到資料庫中獲取資料, 其基本的用法為:

select 列名稱 from 表名稱 [查詢條件];

例如要查詢 students 表中所有學生的名字和年齡, 輸入語句select name, age from students;執行結果如下:

    mysql> select name, age from students;
    +--------+-----+
    | name   | age |
    +--------+-----+
    | 王剛   |  20 |
    | 孫麗華 |  21 |
    | 王永恆 |  23 |
    | 鄭俊傑 |  19 |
    | 陳芳   |  22 |
    | 張偉朋 |  21 |
    +--------+-----+
    6 rows in set (0.00 sec)

    mysql>

也可以使用萬用字元*查詢表中所有的內容, 語句: select * from students;

>>>按特定條件查詢:

where 關鍵詞用於指定查詢條件, 用法形式為: select 列名稱 from 表名稱 where 條件;

以查詢所有性別為女的資訊為例, 輸入查詢語句: select * from students where sex="女";

where子句不僅僅支援"where 列名 = 值" 這種名等於值的查詢形式, 對一般的比較運算的運算子都是支援的, 例如 =、>、<、>=、<、!= 以及一些擴充套件運算子 is [not] nullinlike 等等。 還可以對查詢條件使用 or 和 and 進行組合查詢, 以後還會學到更加高階的條件查詢方式, 這裡不再多做介紹。

示例:

查詢年齡在21歲以上的所有人資訊: select * from students where age > 21;

查詢名字中帶有 "王" 字的所有人資訊: select * from students where name like "%王%"; (⚠️王與%之間不能有空格)

查詢id小於5且年齡大於20的所有人資訊: select * from students where id<5 and age>20;

>>>更新表中的資料

update語句可用來修改表中的資料, 基本的使用形式為:

update 表名稱 set 列名稱=新值 where 更新條件;

使用示例:

將id為5的手機號改為預設的"-": update students set tel=default where id=5;

將所有人的年齡增加1: update students set age=age+1;

將手機號為 13288097888 的姓名改為 "張偉鵬", 年齡改為 19: update students set name="張偉鵬", age=19 where tel="13288097888";

>>>刪除表中的資料

delete 語句用於刪除表中的資料, 基本用法為:

delete from 表名稱 where 刪除條件;

使用示例:

刪除id為2的行: delete from students where id=2;

刪除所有年齡小於21歲的資料: delete from students where age<20;

刪除表中的所有資料: delete from students;


5. 建立後表的修改

alter table 語句用於建立後對錶的修改, 基礎用法如下:

>>>新增列

基本形式: alter table 表名 add 列名 列資料型別 [after 插入位置];

示例:

在表的最後追加列 address: alter table students add address char(60);

在名為 age 的列後插入列 birthday: alter table students add birthday date after age;

>>>修改列

基本形式: alter table 表名 change 列名稱 列新名稱 新資料型別;

示例:

將表 tel 列改名為 telphone: alter table students change tel telphone char(13) default "-";

name 列的資料型別改為 char(16): alter table students change name name char(16) not null;

>>>刪除列

基本形式: alter table 表名 drop 列名稱;

示例:

刪除 birthday 列: alter table students drop birthday;

>>>重新命名錶

基本形式: alter table 表名 rename 新表名;

示例:

重新命名 students 表為 workmates: alter table students rename workmates;

>>>刪除整張表

基本形式: drop table 表名;

示例:

刪除 workmates 表: drop table workmates;

>>>刪除整個資料庫

基本形式: drop database 資料庫名;

示例:

刪除 samp_db 資料庫: drop database samp_db;


附錄

修改 root 使用者密碼

按照本文的安裝方式, root 使用者預設是沒有密碼的, 重設 root 密碼的方式也較多, 這裡僅介紹一種較常用的方式。

使用 mysqladmin 方式:

開啟命令提示符介面, 執行命令: mysqladmin -u root -p password 新密碼

執行後提示輸入舊密碼完成密碼修改, 當舊密碼為空時直接按Enter鍵確認即可。

視覺化管理工具 MySQL Workbench
自選


附:SQL隱碼攻擊 與 防範

所謂SQL隱碼攻擊,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。具體來說,它是利用現有應用程式,將(惡意的)SQL命令注入到後臺資料庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的資料庫,而不是按照設計者意圖去執行SQL語句。比如先前的很多影視網站洩露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的,這類表單特別容易受到SQL隱碼攻擊式攻擊

1、 普通使用者與系統管理員使用者的許可權要有嚴格的區分。
2、 強迫使用引數化語句。
3、 加強對使用者輸入的驗證。
4、 多多使用SQL Server資料庫自帶的安全引數。
5、 多層環境如何防治SQL隱碼攻擊式攻擊
6、 必要的情況下使用專業的漏洞掃描工具來尋找可能被攻擊的點。
7、設定陷阱賬號
sql注入例項分析

相關文章