oracle延时约束的问题

最新推荐文章于 2024-07-03 22:24:10 发布
原创 最新推荐文章于 2024-07-03 22:24:10 发布 · 806 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了SQL中约束的概念,特别是not null约束的deferrable属性如何影响数据表的索引选择。通过实例展示了当约束设为可延时验证时,即使存在not null约束,某些索引也可能不会被使用。

约束可以是deferrable或not deferrable(默认)。
可延时约束在创建后可以修改成约束延时检查
deferrable表示该约束是可延迟验证的. 它有两个选项:
Initially immediate(默认): 立即验证, 执行完一个sql后就进行验证;
Initially deferred: 延迟验证
下面的例子是摘自oracle编程艺术

create table t(x int constraint x_not_null not null deferrable,y int constraint y_not_null not null, z varchar2(20));
SQL> insert into t select rownum,rownum,rpad('x',20,'x') from all_users;

32 rows created.

SQL> commit;

Commit complete.

SQL> explain plan for select count(*) from t;

Explained.

SQL> select * from table(dbms_xplan.display());

PLAN_TABLE_OUTPUT
--------------------------------------------------------------------------------
Plan hash value: 2966233522

-------------------------------------------------------------------
| Id  | Operation      | Name | Rows  | Cost (%CPU)| Time     |
-------------------------------------------------------------------
|   0 | SELECT STATEMENT   |      | 1 | 3   (0)| 00:00:01 |
|   1 |  SORT AGGREGATE    |      | 1 |        |      |
|   2 |   TABLE ACCESS FULL| T    |    32 | 3   (0)| 00:00:01 |
-------------------------------------------------------------------

Note

PLAN_TABLE_OUTPUT
--------------------------------------------------------------------------------
-----
   - dynamic sampling used for this statement (level=2)

13 rows selected.

SQL> create index idx_x on t(x);

Index created.

SQL> explain plan for select count(*) from t;

Explained.

SQL> select * from table(dbms_xplan.display());

PLAN_TABLE_OUTPUT
--------------------------------------------------------------------------------
Plan hash value: 2966233522

-------------------------------------------------------------------
| Id  | Operation      | Name | Rows  | Cost (%CPU)| Time     |
-------------------------------------------------------------------
|   0 | SELECT STATEMENT   |      | 1 | 3   (0)| 00:00:01 |
|   1 |  SORT AGGREGATE    |      | 1 |        |      |
|   2 |   TABLE ACCESS FULL| T    |    32 | 3   (0)| 00:00:01 |
-------------------------------------------------------------------

Note

PLAN_TABLE_OUTPUT
--------------------------------------------------------------------------------
-----
   - dynamic sampling used for this statement (level=2)

13 rows selected.

SQL> create index idx_y on t(y);

Index created.

SQL> explain plan for select count(*) from t;

Explained.

SQL> select * from table(dbms_xplan.display());

PLAN_TABLE_OUTPUT
--------------------------------------------------------------------------------
Plan hash value: 4266017364

------------------------------------------------------------------
| Id  | Operation    | Name  | Rows  | Cost (%CPU)| Time     |
------------------------------------------------------------------
|   0 | SELECT STATEMENT |   |     1 |     1   (0)| 00:00:01 |
|   1 |  SORT AGGREGATE  |   |     1 |        |      |
|   2 |   INDEX FULL SCAN| IDX_Y |    32 |     1   (0)| 00:00:01 |
------------------------------------------------------------------

Note

PLAN_TABLE_OUTPUT
--------------------------------------------------------------------------------
-----
   - dynamic sampling used for this statement (level=2)

13 rows selected.

可以看到x上的索引没有被使用到,因为指定了这个not null的约束是可以延时的,也就是说这个列中能保存空值,所以无法使用x上的索引
设置约束为延时约束
SQL> set constraint x_not_null deferred;

Oracle学习总结(8)—— 面向程序员的数据库访问性能优化法则
科技D人生
05-25 1万+
特别说明: 1、  本文只是面对数据库应用开发的程序员,不适合专业DBA,DBA在数据库性能优化方面需要了解更多的知识; 2、  本文许多示例及概念是基于Oracle数据库描述,对于其它关系型数据库也可以参考,但许多观点不适合于KV数据库或内存数据库或者是基于SSD技术的数据库; 3、  本文未深入数据库优化中最核心的执行计划分析技术。   读者对像: 开发人员:如果你是做数据库开发,
谷粒商城项目篇13_分布式高级篇_订单业务模块(提交订单幂等性、分布式事务、延时MQ实现定时任务)
xiaosi的博客
08-24 4066
目录 订单业务模块 一、订单业务模块 概述 电商系统涉及到 3 流,分别时信息流,资金流,物流,而订单系统作为中枢将三者有机的集 合起来。 订单模块是电商系统的枢纽,在订单这个环节上需求获取多个模块的数据和信息,同时对这 些信息进行加工处理后流向下个环节,这一系列就构成了订单的信息流通 1.订单流程 不管类型如何订单都包括正向流程和逆向流程,对应的场景就是购买商品和退换货流程,正 向流程就是一个正常的网购步骤:订单生成–>支付订单–>卖家发货–>确认收货–>交易成功。 而每
oracle延迟约束
神爱凡人
04-29 630
标准规定,约束可以是deferrable或not deferrable(默认)。   not deferrable 约束在每一个DML语句后检查; deferrable 约束可以在每一个insert,delete,或update(即时模式)后立即检查,或者在事务末尾检查(延迟模式)   当没有按特定顺序执行数据加载时,这项功能特别有用——它允许先把数据载入子表,然后再装入父表。 另一种...
oracle延迟约束
12-03 469
考虑这样的需求:系统中有两个模块A1和A2,A1负责insert数据到表T中,而模块A2负责更新表T中与模块A2有关的字段C1,C1上有not null约束.这时候应在c1上建立延迟not null约束,在事务结束的时候才校验n...
oracle延迟约束不起作用,Oracle延迟约束Deferable的使用
weixin_30744857的博客
04-16 278
3deferrable用途3.1物化视图物化视图(快照),这是它的主要用途。这些视图会使用延迟约束来进行视图刷新。在刷新物化视图的过程中,可能会破坏完整性,而且将不能逐句检验约束。但到执行COMMIT时,数据完整性就没问题了,而且能满足约束。没有延迟约束,物化视图的约束可能会使刷新过程不能成功进行。3.2级联更新当预测是否需要更新父/子关系中的主时,它有助于级联更新。看一下实际的例子:SQL&g...
oracle 约束延迟 与 立即
甲骨文可乐的专栏
07-08 1023
文档地址:http://docs.oracle.com/cd/B19306_01/server.102/b14200/clauses002.htm#i1002273   constraint_state::= Description of the illustration constraint_state.gif   constraint_state You can use the constr
Oracle延迟约束Deferable的使用
01-19 293
标准规定,约束可以是deferrable或not deferrable(默认)。 not deferrable 约束在每一个DML语句后检查; deferrable 约束可以在每一个insert...
Oracle Goldengate 安装
01-11
8. Oracle GoldenGate常见问题及处理 记录并提供解决方案针对各种常见问题,如队列文件保存期限设置、AIX使用裸设备、UNIX GGSCI需要lib包验证、OGG错误代码、复制进程拆分、BOUNDED RECOVERY、从指定时间重新抓取等...
百万级数据库优化方案--Oracle 性能优化总结
qq_42514371的博客
07-03 2277
1.对查询优化,尽量避免全表扫描,首先应考虑在 where 及 order by 涉及的列上建立索引。复制最好不要给数据库留NULL,尽可能的使用 NOT NULL填充数据库.备注、描述、评论之类的可以设置为 NULL,其他的,最好不要使用NULL。不要以为 NULL 不需要空间,比如:char(100) 型,在字段建立时,空间就固定了, 不管是否插入值(NULL也包含在内),都是占用 100个字符的空间的,如果是varchar这样的变长字段, null 不占用空间。复制复制。
oracle 学生成绩,oracle学生成绩管理系统设计
weixin_34289439的博客
04-04 1131
oracle学生成绩管理系统设计》由会员分享,可在线阅读,更多相关《oracle学生成绩管理系统设计(11页珍藏版)》请在人人文库网上搜索。1、阶段1.1成绩管理系统实体关系设计一、实验目的和要求(1)熟练掌握实体关系设计的方法。(2)通过需求分析结果,掌握E-R图。二、实验内容和原理实体关系设计是在需求分析的一个环节过程,在这一过程中产生E-R图,该图由实体、属性和联系三个要素构成。逻辑结构设...
Oracle教程之管理约束(五)--Oracle使用延期约束检查
weixin_33705053的博客
04-08 199
默认情况下,当执行DML操作时,如果入了违反约束规则的数据,则会立即提示错误信息。某些情况下,可能希望在事务结束时进行约束 检查,如级联更新、给自参照表装载数据等。需要注意,如果使用延期约束检查,那么在定义约束时必须指定 DEFERRABLE 选项。实 例如下: 11:53:27 SQL> alter table dept1 11:53:38 2...
oracle约束延时生效
arsenic的专栏
02-06 662
set constraint constraint_name deferred;
oracle延迟约束,oracle 延迟约束
weixin_33680447的博客
04-04 183
--创建一个样例表HR@prod>createtabledept2asselect*fromdepartments;--查看dept2的表拥有哪些约束HR@prod>selectuc.constraint_name,uc.constraint_type,ucc.column_name2fromuser_constraintsuc,user_cons_colu...
延迟约束
gumengkai的博客
04-19 1404
延迟约束:指仅当事物被提交时强制执行约束,在添加约束时可以使用deferrable字句来指定约束延迟约束,对于已经存在的约束不能修改 case: SQL> create table t(id number(4) notnull,name varchar2(20)); Table created. ---建立延迟约束 SQL> alter table t add constraintpk
oracle延迟,ORACLE 约束延迟验证的特性deferred的作用与场景?
weixin_32264185的博客
04-02 260
SQL> create table p ( pk int primary key );Table created.SQL>create table c( t1 int,fk int constraint c_fk references p(pk) deferrable initially immediate);Table created.SQL> insert into p ...
关于延迟约束
数据库
05-28 750
-------------------------------------------------------------------------- -----------------------------Cryking原创------------------------------ -----------------------转载请注明出处,谢谢!--------------------...
不同数据库(MySQL/Oracle/SQL Server)的SQL注入方式有何差异?
最新发布
06-12
<think>我们正在回答用户的问题:比较MySQL、Oracle和SQLServer在SQL注入方式上的差异根据用户提供的引用内容以及之前对话中提到的引用,我们可以总结如下:引用[1]提到:Oracle和PostgreSQL的实现较为复杂(在XML或自定义函数方面),而MicrosoftSQLServer较为直观,MySQL受限于Windows环境和文件操作权限。这说明在利用特定功能(如文件操作、自定义函数等)进行注入时,不同数据库有不同限制。引用[2]提到:延时函数在各数据库中的不同:SQLServer的waitfordelay、Oracle的DBMS_LOCK.SLEEP等,说明时间盲注时使用的函数不同。引用[3]提到:Oracle的客户端工具sql*plus的使用习惯可能与MySQL命令行不同,但这不影响注入方式,仅影响手动注入时的操作。引用[4]:展示了一个Oracle中分页查询的例子,这说明了在分页查询中利用rownum进行注入时需要注意的细节(比如需要给rownum起别名)。结合这些引用以及我们所知的其他知识,我们按数据库类型比较SQL注入方式的差异:1.注释方式差异:-MySQL:可以使用`#`、`--`(注意后面有空格)或`/**/`-Oracle:只支持`--`和`/**/`,且要求更严格(有时需要空格)-SQLServer:支持`--`和`/**/`2.字符串连接符:-MySQL:使用空格或`CONCAT()`函数-Oracle:使用`||`或`CONCAT()`(但CONCAT只支持两个参数)-SQLServer:使用`+`3.信息获取:-MySQL:系统表`information_schema.tables`等-Oracle:系统视图如`all_tables`、`all_tab_columns`等-SQLServer:系统表如`sysobjects`、`syscolumns`等或信息模式视图`INFORMATION_SCHEMA.TABLES`4.盲注技术中的差异:-布尔盲注:MySQL:可以利用条件判断语句(如`IF`)但通常在WHERE子句中直接用条件Oracle:可以使用`CASE`语句或`DECODE`函数SQLServer:可以使用`IIF`或`CASE`-时间盲注:MySQL:`SLEEP()`、`BENCHMARK()`Oracle:`DBMS_LOCK.SLEEP()`SQLServer:`WAITFORDELAY`5.利用文件操作:-MySQL:通过`LOAD_FILE()`读取文件,`INTOOUTFILE`写文件,但需要权限-Oracle:使用`UTL_FILE`包读写文件,但需要配置目录对象-SQLServer:使用`OPENROWSET`读取文件,`xp_cmdshell`执行系统命令(可写文件)6.执行系统命令:-MySQL:通常不能直接执行系统命令,除非通过UDF(用户自定义函数)扩展,但需要FILE权限和共享库-Oracle:可以通过`DBMS_SCHEDULER`或`Java`存储过程执行命令-SQLServer:通过`xp_cmdshell`执行系统命令7.分页查询(用于盲注或数据提取):-MySQL:`LIMIToffset,count`-Oracle:使用`ROWNUM`和子查询(如用户引用[4]所示)-SQLServer:使用`OFFSET`和`FETCHNEXT`(2012版本及以上)或`TOP`和子查询8.错误信息利用:-MySQL:错误信息可能包含路径或部分查询结构-Oracle:错误信息通常较为详细,可能包含行号、列名等-SQLServer:错误信息可能返回完整查询结构9.堆叠查询(StackedQuery)支持:-MySQL:默认情况下,PHP的mysqli扩展不支持堆叠查询(但PDO可以),因此堆叠注入在MySQL中可能受限-Oracle:不支持堆叠查询-SQLServer:支持堆叠查询(例如:`SELECT1;SELECT2;`)10.XML利用(如引用[1]提到):-Oracle和PostgreSQL的XML操作相对复杂,而SQLServer较为直观,MySQL也有XML函数但相对简单。11.权限差异:-MySQL:权限设置相对简单,需要高权限(如FILE权限)才能进行文件操作。-Oracle:权限模型复杂,通常需要DBA角色或特定包的执行权限。-SQLServer:权限与Windows域整合,通常以服务账户权限运行,如果以高权限运行则攻击者可能获得系统控制权。这些差异使得攻击者在针对不同数据库时需要调整注入策略。例如,在时间盲注中,延时函数的名称各不相同;在利用文件操作时,需要的权限和函数也不同。因此,在进行SQL注入攻击时,攻击者通常需要先判断数据库类型,然后再选择对应的注入方式。我们应将这些差异整理成一个表格,以清晰对比:|特性|MySQL|Oracle|SQLServer||------------------|----------------------------------------|---------------------------------------|---------------------------------------||注释符|`#`,`--`,`/**/`|`--`,`/**/`|`--`,`/**/`||字符串连接|空格或`CONCAT()`|`||`或`CONCAT()`|`+`||系统表/视图|`information_schema`|`all_tables`,`all_tab_columns`|`sysobjects`,`syscolumns`或`INFORMATION_SCHEMA`||时间盲注函数|`SLEEP()`,`BENCHMARK()`|`DBMS_LOCK.SLEEP()`|`WAITFORDELAY`||文件读写|`LOAD_FILE()`,`INTOOUTFILE`(需权限)|`UTL_FILE`包(需目录对象)|`OPENROWSET`(读),`xp_cmdshell`(读写)||执行系统命令|需自定义UDF(困难)|使用`DBMS_SCHEDULER`或Java存储过程|`xp_cmdshell`||分页查询|`LIMIToffset,count`|`ROWNUM`和子查询|`OFFSETFETCHNEXT`或`TOP`||堆叠查询支持|受限(依赖于驱动)|不支持|支持||错误信息利用|可能暴露路径|详细,可能包含行号、列名|可能暴露完整查询结构|最后,根据引用[1]中的防御建议,无论使用哪种数据库,都应使用参数化查询(预编译语句)来防御SQL注入。我们将按照上述内容组织回答,并生成相关问题。</think> 以下是MySQL、Oracle和SQL Server三大数据库在SQL注入方式上的核心差异分析,结合技术实现、攻击手法和防护难点进行对比: --- ### 一、技术实现差异(基于数据库特性) #### 1. **MySQL**: - **文件操作限制**:受操作系统权限制约(如Linux文件路径限制) - **延时盲注**:使用 `SLEEP()` 或 `BENCHMARK()` 函数 - **信息获取**:依赖 `information_schema` 系统表 - **堆叠查询**:仅当驱动支持时生效(如PHP的PDO) ```sql SELECT * FROM users WHERE id='1'; SHOW TABLES--' ``` #### 2. **Oracle**: - **复杂性高**:需构造XML路径或自定义函数(如 `UTL_HTTP`) - **延时盲注**:调用 `DBMS_LOCK.SLEEP()` [^2] - **分页查询特殊限制**:`ROWNUM`需别名才能注入(如 `ron > 2`)[^4] - **客户端工具**:依赖SQL*Plus(命令行)或GUI工具[^3] ```sql SELECT * FROM (SELECT test.*,ROWNUM ron FROM test) WHERE ron>2 AND 1=utl_inaddr.get_host_name('payload') ``` #### 3. **SQL Server**: - **直观性高**:语法更贴近标准SQL(攻击者友好) - **系统命令执行**:利用 `xp_cmdshell` 执行OS命令 - **延时盲注**:`WAITFOR DELAY '0:0:5'`[^2] - **错误信息利用**:错误页面常暴露完整SQL结构 --- ### 二、攻击手法差异 | **场景** | MySQL | Oracle | SQL Server | |------------------|----------------------------------|---------------------------------|--------------------------| | **信息获取** | `UNION SELECT @@version` | `SELECT banner FROM v$version` | `SELECT @@version` | | **延时盲注** | `1' AND IF(1=1,SLEEP(5),0)-- ` | `1' AND DBMS_LOCK.SLEEP(5)=1--`| `1'; WAITFOR DELAY '0:0:5'--` | | **文件读取** | `LOAD_FILE('/etc/passwd')` | 需`UTL_FILE`包权限[^1] | `xp_readerrorlog` | | **命令执行** | 需UDF扩展(如`lib_mysqludf_sys`) | 通过Java存储过程 | `EXEC xp_cmdshell 'cmd'` | | **权限提升** | `FILE_priv`控制 | 依赖DBA角色授权 | `sysadmin`角色控制 | --- ### 三、防护难点对比 1. **MySQL**: - 默认禁用堆叠查询(需特定驱动) - 文件操作受OS权限强约束[^1] 2. **Oracle**: - 复杂功能(XML解析、Java扩展)增加攻击面[^1] - 系统包默认禁用(如`UTL_HTTP`) 3. **SQL Server**: - `xp_cmdshell`易被滥用(默认禁用但仍可激活) - 错误信息泄露风险更高 --- ### 总结 - **MySQL**:侧重文件/OS操作权限限制 - **Oracle**:利用复杂度高(XML/自定义函数)[^1] - **SQL Server**:攻击直观性高(OS命令执行风险突出) > **最佳防护建议**: > 统一使用**参数化查询**(如`PreparedStatement`),禁用动态SQL拼接。Oracle加固系统包权限,SQL Server关闭`xp_cmdshell`。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值