阿C的博客

Category: DB

MySQL注入攻击与防御

一、注入常用函数与字符
二、测试注入
三、注释符
四、版本&主机名&用户&库名
五、表和字段
六、字符串连接&条件语句&时间函数
七、文件操作
八、带外通道
九、绕过技巧
十、注释符&引号
十一、实战正则过滤绕过
十二、防御手段(代码以PHP为例)

原文地址:安全客 & 缓存图片

字段设计规范

1、用DECIMAL代替FLOAT和DOUBLE存储精确浮点数。

浮点数的缺点是会引起精度问题,请看下面一个例子:

mysql> CREATE TABLE table1 (f1 float(10,2),f2 decimal(10,2));
Query OK, 0 rows affected (0.05 sec)
mysql> INSERT INTO table1 VALUES (999998.02, 999998.02);
Query OK, 1 row affected (0.01 sec)
mysql> SELECT * FROM t3;
+-----------+-----------+
| f1        | f2        |
+-----------+-----------+
| 999998.00 | 999998.02 |
+-----------+-----------+
1 row in set (0.00 sec)

Continue reading

DISCUZ数据库字典:

(字典比较庞大,若有错误的地方欢迎跟帖指正!)

pre_common_admincp_cmenu后台菜单收藏表

字段 类型 默认 注释
id smallint(6)   编号
title varchar(255)   菜单名称
url varchar(255)   菜单地址
sort tinyint(1) 0 菜单类型,备用
displayorder tinyint(3)   显示顺序
clicks smallint(6) 1 点击数,备用
uid mediumint(8)   添加用户
dateline int(10)   添加时间

Continue reading

下述十四个技巧,是许多人在大量的数据库分析与设计实践中,逐步总结出来的。对于这些经验的运用,读者不能生帮硬套,死记硬背,而要消化理解,实事求是,灵活掌握。并逐步做到:在应用中发展,在发展中应用。

1. 原始单据与实体之间的关系
  可以是一对一、一对多、多对多的关系。在一般情况下,它们是一对一的关系:即一张原始单据对应且只对应一个实体。在特殊情况下,它们可能是一对多或多对一的关系,即一张原始单证对应多个实体,或多张原始单证对应一个实体。这里的实体可以理解为基本表。明确这种对应关系后,对我们设计录入界面大有好处。
  〖例1〗:一份员工履历资料,在人力资源信息系统中,就对应三个基本表:员工基本情况表、社会关系表、工作简历表。这就是“一张原始单证对应多个实体”的典型例子。

2. 主键与外键
  一般而言,一个实体不能既无主键又无外键E–R图 中, 处于叶子部位的实体,可以定义主键,也可以不定义主键(因为它无子孙), 但必须要有外键(因为它有父亲)。
  主键与外键的设计,在全局数据库的设计中,占有重要地位。当全局数据库的设计完成以后,有个美国数据库设计专家说:“键,到处都是键,除了键之外,什么也没有”,这就是他的数据库设计经验之谈,也反映了他对信息系统核心(数据模型)的高度抽象思想。因为:主键是实体的高度抽象,主键与外键的配对,表示实体之间的连接。

Continue reading

Mysql的使用非常普遍,跟Mysql有关的话题也非常多,如性能优化、高可用性、强一致性、安全、备份、集群、横向扩展、纵向扩展、负载均衡、读写分离等要想掌握其中的精髓,可得花费不少功力 ,虽然目前流行的Mysql替代方案有很多,可是从最小成本最容易维护的角度而言,Mysql还是首选。下面从应用场景的角度切入,对Mysql的技术点进行组织,写一份知识图谱。

Mysql的应用场景分为6种:每种场景下需要考虑的重点问题不一样:

Mysql的六种应用场景
1. 一主
2. 一主一从
3. 一主 N 从
4. 横向集群
5. 纵向集群

推荐文章:埋在MYSQL数据库应用中的17个关键问题!

数据脱敏(Data Masking),又称数据漂白数据去隐私化数据变形

数据脱敏是指对某些敏感信息通过脱敏[1]规则进行数据的变形,实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的情况下,在不违反系统规则条件下,对真实数据进行改造并提供测试使用,如 身份证号手机号卡号客户号 等个人信息都需要进行数据脱敏。

数据脱敏是数据库安全技术之一,数据库安全[2]技术主要包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

数据脱敏的益处

  • 增加数据可管理性。通过对隐私数据进行不同级别的权限管理,实现对隐私数据的访问审批机制。
  • 数据泄露风险可控。如果依旧发生了数据泄露,经过脱敏的数据,对于信息窃取者意义不大。
  • 数据泄露可追溯源。一旦发生数据泄露,能够保证通过审计日志找到对应的泄露人员。

数据脱敏的方法

  • 替换。如:性别中的男性替换成M,女性替换成F。
  • 加密。如:234变成468。
  • 掩码。如:13812123467改成138****3467。
  • 截断。如:034.66666666改成034。

脚注

[1] 脱敏:来源医学,主要是用于治疗过敏的一种方法。查看百科

[2] 数据库安全:数据库安全风险包括:拖库、刷库、撞库。

[x] 查看相关文章:数据脱敏

Copyright © 2020 阿C的博客

Theme by AC.AsiaUp ↑