MySQL | 工作達人(Job Da Ren)

Archive for the ‘MySQL’ Category

MSSQL to MySQL Exporter

2012-04-28,Last modified: 2012-05-14Please wait

最近因為工作的需求關係，需要將MSSQL的資料庫轉到MySQL的資料庫，自己寫程式覺得很累，想說有沒現成的軟體可以做轉換，有找到MSSQL-to-MySQL不過要價$49美金，其實也不算貴，但自己已經會寫程式了，還得另外花錢，就不划算了。

芝麻電腦診所有一篇MS SQL移轉MySQL，是透過MySQL Migration Toolkit來轉的，不過ㄚ琪沒找到。

最後在SourceForge找到了MSSQL to MySQL Exporter，它是用C#的.NET平台寫得，可以資料表，然後選擇你要匯出的資料表，它會輸出新增資料表及資料列的SQL語法，屆時再把這些SQL語法匯入到MySQL中就可以了，雖然沒有直接轉換，但是這樣子已經可以符合需求了，對於幾百MB的資料量轉換已經夠了。

不過ㄚ琪實際在使用時發現了一個問題，就是不知哪位天兵，竟然將一個資料表的名稱設為Function，眼尖的人都會曉得這很可能是關鍵字，所以這個系統會丟出錯誤。

ㄚ琪算是比較龜吧，就開啟原始碼來改了，這個原始碼是Visual Studio舊版編譯的，所以用ㄚ琪的Microsoft Visual C# 2010 Express開啟需要做轉換，一度還發生ㄚ琪安裝的Microsoft Visual C# 2010 Express有問題需要重新安裝。

警告 1 ‘System.Data.SqlClient.SqlParameterCollection.Add(string, object)’ 已過時: ‘Add(String parameterName, Object value) has been deprecated. Use AddWithValue(String parameterName, Object value). http://go.microsoft.com/fwlink/?linkid=14202′這樣子的警告，將Add方法改為AddWithValue就可以正確。

另外因為Function是關鍵字，所以ㄚ琪需要將cm = new SqlCommand(“select * from “+tablename, objConn);

改成cm = new SqlCommand(“select * from \””+tablename+”\””, objConn);

這樣程式才能正確執行。

好了，這個程式現在不用錢ㄚ琪奉送給各位免費使用。下載=>MSSQLtoMySQL

Tags: microsoft visual c, migration toolkit, MS SQL
Posted in C#, MSSQL, MySQL, 軟體報報 | No Comments »

何謂資料隱碼(SQL injection)攻擊？程式設計師應如何預防？

2011-09-11,Last modified: 2011-09-09Please wait

這個問題是出自經濟部所屬事業機構 100年新進職員甄試試題，資訊管理、程式設計(pdf)的一題，這個問題ㄚ琪其實在設計PHP程式，搭配資料庫所設計的應用程式，都會面臨到這樣的難題，因為ㄚ琪本身對安全概念倒是沒有那麼的完整，所以有些程式為了求快，常會捨安全而不顧，不過如果你在開發一個重要的程式時，應該要謹慎這方面的問題，好了，我們先從維基的解釋來看吧。

SQL攻擊（SQL injection，中國大陸稱作SQL注入攻击，台灣稱作SQL资料隐码攻击），簡稱隱碼攻擊，是發生於應用程式之資料庫層的安全漏洞。簡而言之，是在輸入的字串之中夾帶SQL指令，在設計不良的程式當中忽略了檢查，那麼這些夾帶進去的指令就會被資料庫伺服器誤認為是正常的SQL指令而執行，因此遭到破壞。

有部份人認為SQL隱碼攻擊是只針對Microsoft SQL Server而來，但只要是支援批次處理SQL指令的資料庫伺服器，都有可能受到此種手法的攻擊。

原因

在應用程式中若有下列狀況，則可能應用程式正暴露在SQL Injection的高風險情況下：

在應用程式中使用字串聯結方式組合SQL指令。
在應用程式連結資料庫時使用權限過大的帳戶（例如很多開發人員都喜歡用sa（內建的最高權限的系統管理員帳戶）連接Microsoft SQL Server資料庫）。
在資料庫中開放了不必要但權力過大的功能（例如在Microsoft SQL Server資料庫中的xp_cmdshell延伸預存程式或是OLE Automation預存程式等）
太過於信任使用者所輸入的資料，未限制輸入的字元數，以及未對使用者輸入的資料做潛在指令的檢查。

作用原理

SQL命令可查詢、插入、更新、刪除等，命令的串接。而以分號字元為不同命令的區別。（原本的作用是用於SubQuery或作為查詢、插入、更新、刪除……等的條件式）
SQL命令對於傳入的字串參數是用單引號字元所包起來。〈但連續2個單引號字元，在SQL資料庫中，則視為字串中的一個單引號字元〉
SQL命令中，可以夾帶註解〈連續2個減號字元——後的文字為註解，或「/*」與「*/」所包起來的文字為註解〉
因此，如果在組合SQL的命令字串時，未針對單引號字元作取代處理的話，將導致該字元變數在填入命令字串時，被惡意竄改原本的SQL語法的作用。

例子

某個網站的登入驗證的SQL查詢代碼為

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

惡意填入

userName = "' OR '1'='1";

與

passWord = "' OR '1'='1";

時，將導致原本的SQL字串被填為

strSQL = "SELECT * FROM users WHERE (name = '' OR '1'='1') and (pw = '' OR '1'='1');"

也就是實際上執行的SQL命令會變成下面這樣的

strSQL = "SELECT * FROM users;"

因此達到無帳號密碼，亦可登入網站。所以SQL隱碼攻擊被俗稱為駭客的填空遊戲。

可能造成的傷害

資料表中的資料外洩，例如個人機密資料，帳戶資料，密碼等。
資料結構被駭客探知，得以做進一步攻擊（例如SELECT * FROM sys.tables）。
資料庫伺服器被攻擊，系統管理員帳戶被竄改（例如ALTER LOGIN sa WITH PASSWORD=’xxxxxx’）。
取得系統較高權限後，有可能得以在網頁加入惡意連結以及XSS。
經由資料庫伺服器提供的作業系統支援，讓駭客得以修改或控制作業系統（例如xp_cmdshell “net stop iisadmin”可停止伺服器的IIS服務）。
破壞硬碟資料，癱瘓全系統（例如xp_cmdshell “FORMAT C:”）。

避免的方法

在設計應用程式時，完全使用參數化查詢（Parameterized Query）來設計資料存取功能。
在組合SQL字串時，先針對所傳入的參數作字元取代（將單引號字元取代為連續2個單引號字元）。
如果使用PHP開發網頁程式的話，亦可開啟PHP的魔術引號（Magic quote）功能（自動將所有的網頁傳入參數，將單引號字元取代為連續2個單引號字元）。
其他，使用其他更安全的方式連接SQL資料庫。例如已修正過SQL資料隱碼問題的資料庫連接元件，例如ASP.NET的SqlDataSource物件或是 LINQ to SQL。
使用SQL防資料隱碼系統。

這裡頭有提到原因、作用原理、可能造成的傷害以及避免的方法。但是ㄚ琪覺得對一個新手程式設計師而言，有一個協助自動檢查程式的機制或許會更好，不然誰會知道自己寫的程式沒問題，自我感覺良好的人，一定覺得沒問題吧，呵呵，就像我這樣。

查到PHP+MySQL环境下SQL Injection攻防总结，似乎是ㄚ琪開始注意寫PHP程式時，要注意SQL injection了，共勉之，另外這個部落格也有MySQL的最佳化，很可以看喔。

Tags: Injection, Parameterized Query, SQL injection, 參數化查詢, 安全, 注入, 程式設計, 資料庫, 資料隱碼攻擊, 部落格
Posted in Database, MySQL | No Comments »

看看資料表對不對

2011-08-30,Last modified: 2011-08-30Please wait

今天在讀深入淺出SQL這書到請看，你的資料表這裡，發現了一個之前沒使用過的語法：

{DESCRIBE | DESC} tbl_name [col_name | wild]

可以用來提供資料表內的欄位資訊，當然這個應該不是標準的SQL語法，應該只是MySQL的語法，因為工作上需求，ㄚ琪也順便查一下MS SQL、DB2及Oracle等常用的資料庫，是否也有類似的語法。

MS SQL：

sp_tables [ [ @table_name = ] 'name' ]
     [ , [ @table_owner = ] 'owner' ]
     [ , [ @table_qualifier = ] 'qualifier' ]      [ , [ @table_type = ] "type" ]
     [ , [@fUsePattern = ] 'fUsePattern'];

DB2：

>>-DESCRIBE----------------------------------------------------->

     .-OUTPUT-.
>--+-+--------+--+-select-statement-+-------------------+------><
   |             '-call-statement---'                   |
   '-+-TABLE--table-name-------------+--+-------------+-'
     '-INDEXES FOR TABLE--table-name-'  '-SHOW DETAIL-'

Oracle：

DESC table

DESC view

DESC synonym

DESC function

DESC package

看起來MySQL、Db2跟Oracle都很類似，就只有MS SQL跟別人差比較多，而且從字面上又很難解讀這個命令，唉。

Tags: DB2, DESC, MS SQL, MySQL, Oracle
Posted in Database, DB2, MSSQL, MySQL, Oracle | No Comments »

Hack Remind Me

2010-06-28,Last modified: 2010-10-28Please wait

這是自從寫深度連結的重要性開始，經過WordPress 3.0下WikiStyle Autolinks不work的測試，後來我感覺有點不對，WikiStyle的外掛，它的程式是針對文章內容做搜尋，當你舊文章的標題有跟目前顯示文章的內容有吻合的時候，就將舊文章的標題轉成連結放在目前顯示的文章內來作到深度連結的功能，但是這會造成如果你的網站小又或者你的文章數超多的話，那麼這個搜尋會造來嚴重的後果，那就是讀者看文章會變得很慢很慢…慢到他睡著了，文章還沒顯示完，原本在測試平台下測試還滿順利的，後來移到這個頻寬小文章數以到了1491篇的工作達人來說，這是很大的搜尋負荷，我們不可以慢待我們的讀者，作者自己倒是可以慢待才對。

經過這樣的思考，ㄚ琪又再一次地搜尋Wordpress的外掛有沒適合我的想法的，我找到了Remind Me這個外掛，這也是有5顆星的外掛，在Wordpress 3.0下使用沒有問題，它可以很容易地將這一篇文章的連結放到另一篇的文章內，這是深層連結的一個滿不錯的外掛，當你啟用這個外掛後，你會看到在內容編輯欄位下，有相關文章的列表（如下圖）。

這些列表是根據你目前文章的標題、內容、標籤、分類來搜尋以前的舊文章，但是內容是依據你把它用滑鼠選取之後，按Refresh List更新時比對舊文章的內容來當作搜尋結果的，或許這個邏輯沒什麼問題，但是對ㄚ琪的用意是不吻合的，因為在WikiStyle Autolinks下是用舊文章的標題來比對目前文章的內容，而這也是我比較接受的邏輯，因為一般我在寫文章的時候可能舊的文章標題我記不得，所以如果編輯的文章內有一段話是我常用的，那麼它就可以提醒我以前有這麼一篇文章喔！那時我就把這個連結加入文章內，你看雖然在編輯的時候它要去搜尋，但是應該不會很多次，這將比起讀者每次看文章就要搜尋的WikiStyle Autolinks，確實這是省力多了！

好了Remind Me這個功能沒有，我想就把WikiStyle Autolinks這個功能移入好了，但是程式碼的寫成有差異，好像不相容吧，我在想在SQL命令產生的時候應該有正規表示式吧！

哈哈，果真沒錯，先試了全文索引的功能，不對，而且要改變Wordpress的資料結構，這個很實在不妥，繼續找，後來找到有REGEXP的語法，這正是我要的命令語法！

好了，開始改造我的Remind Me吧！

第一個是先針對wp-content\plugins\remind-me-deep-linking-seo-plugin\template\js的remind-me-metabox.js做改造

var selString = tinyMCE.activeEditor.selection.getContent();

這一行就是針對選取內容比對舊文張的標題來做搜尋結果，我不想這樣所以改成

var selString = tinyMCE.activeEditor.getContent();

這樣是為了讓舊文章的標題比對目前文章內所有文字做搜尋結果！

接著改wp-content\plugins\remind-me-deep-linking-seo-plugin下的model.php

// add the search text
if (!empty($params["highlight"])){
$params["highlight"] = jtUtility::cleanTxt($params["highlight"], “”);
$searchWhere->addLike(“post_title”, $params["highlight"],”p”, true);
$searchWhere->addLike(“post_excerpt”, $params["highlight"],”p”, true);
$searchWhere->addLike(“post_content”, $params["highlight"],”p”, true);
$searchWhere->addLike(“post_name”, $params["highlight"],”p”, true);
}

上面這一塊是原來的程式碼主要就是產生用滑鼠選取部份文章內容來做搜尋的SQL語法，我不要這樣的搜尋，所以改成這樣：

// add the search text
if (!empty($params["highlight"])){
$params["highlight"] = jtUtility::cleanTxt($params["highlight"], “”);
//加hack，使用hightlight為所有content
//註解下面四行
//$searchWhere->addLike(“post_title”, $params["highlight"],”p”, true);
//searchWhere->addLike(“post_excerpt”, $params["highlight"],”p”, true);
//$searchWhere->addLike(“post_content”, $params["highlight"],”p”, true);
//$searchWhere->addLike(“post_name”, $params["highlight"],”p”, true);
$searchWhere->add(“‘”.$params["highlight"].”‘ REGEXP p.post_title”);
}

這一行就是精髓： $searchWhere->add(“‘”.$params["highlight"].”‘ REGEXP p.post_title”);

好了，這樣就完成任務了，真是過癮！

Tags: deep linking, hack, links, pages, plugin, posts, Remind Me, seo, WikiStyle Autolinks, 外掛, 深度連結
Posted in MySQL, Web Blog, Wordpress | 1 Comment »

開啟MySQL query cache加速查詢的效能

2010-05-20,Last modified: 2010-05-20Please wait

話說ㄚ琪用APC來加速我的Wordpress部落格，這篇是參考4+1 Ways To Speed Up WordPress With Caching這篇來著，而這篇文章裡面其實另有提到設定MySQL的query cache來加速Wordpress的方法，不過我不太敢直接在工作達人上試，直到今天加看了參考文章Turn on MySQL query cache to speed up query performance?後並且在公司的Windows上的MySQL環境做測試，結果如下：

設定前測試：我的資料紀錄是89543筆，查詢的時間是0.36sec

設定後測試：資料紀錄多了一筆89544筆，但是查詢的時間是0.34 sec

看起來有點差，可能沒有很公正，但是已經值得讓我更進一步去試試看了！

設定的方式也很簡單：

1.打開MySQL的設定檔，通常是my.cnf 或 my.ini

2.query-cache-type = 1，query-cache-type有三種值：0 (disable / off), 1 (enable / on) and 2 (on demand)

3.query-cache-size = 20M，老闆說他喜歡20M

4.設定完後，重新啟動，然後查看一下有沒設定正確SHOW VARIABLES LIKE ‘%query_cache%’;

這個設定很簡單，查了工作達人機器上的設定，原來有設了，只是.query-cache-size

設16

Tags: boost performance, MySQL, mysql db, mysql db server, mysql performance tuning, mysql query cache, mysql server, mysql server tuning, mysql tuning, query cache
Posted in MySQL | No Comments »