Mydwr的专栏

by By ogdan Calin     在本篇文章中，我会谈到一些不常见的SQL注入漏洞，并且说明如何利用这些漏洞。     和最近所报道的一些典型的SQL注入不同，在这种形式的注入漏洞中，攻击者可以控制SQL语句中的 ORDER BY,LIMIT或者GROUP BY 子句。     本篇文章中所有的示例都采用MySql做为终端数据库，这些技巧也可以用到其他数据库中。

mysql:        type="post"       SELECT  select last_insert_id()     sqlserver:    type="post"        SELECT  @@identity  AS  ID     oracle:        type="pre"         SELECT  sequenceName.nex

一、创建 　　sys；   //系统管理员，拥有最高权限 　　system；//本地管理员，次高权限 　　scott； //普通用户，密码默认为tiger,默认未解锁 　　二、登陆 　　sqlplus / as sysdba；  //登陆sys帐户 　　sqlplus sys as sysdba；//同上 　　sqlplus scott/tiger；  //登陆普通用户scott

Oracle 删除重复数据只留一条 查询及删除重复记录的SQL语句   1、查找表中多余的重复记录，重复记录是根据单个字段（Id）来判断   select * from 表 where Id in (select Id from 表 group byId having count(Id) > 1)   2、删除表中多余的重复记录，重复记录是根据单个字段（Id）来判

ibatis模糊查询的like '%$name$%'的sql注入避免。 在用ibatis进行模糊查询的时候很多同学习惯用like'%$name$%'的方式，其实这种方式会造成sql注入。ibatis对于$符号的处理是默认不加’‘号的，所以如果传入的参数是： 1'或者是1231%'or 1%' = '1这些形式就回造成注入危险。 解决是避免用like '%$name$%'，可以进行

where 1=1; 这个条件始终为True，在不定数量查询条件情况下，1=1可以很方便的规范语句。 一、不用where  1=1  在多条件查询中的困扰 　　举个例子，如果您做查询页面，并且，可查询的选项有多个，同时，还让用户自行选择并输入查询关键词，那么，按平时的查询语句的动态构造，代码大体如下： 　　string MySqlStr=”select * from table wh

SqlServer 2k转换为Oracle 10g     列名 SqlServer数据类型 SqlServer长度 Oracle数据类型 column1 bigint 8 NUMBER(19) column2 binary 50 RAW(50) column3