|
論壇說明 | 標記討論區已讀 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2005-05-14, 01:45 AM | #1 |
榮譽會員
|
Mysql自動制作備份批次處理 for windows
x:\mysql\bin\mysqldump --opt -u*** -p*** bbs >F:\%date:~4,10%.sql
"C:\Program Files\WinRAR\Rar.exe" a -df F:\%date:~4,10%.rar F:\%date:~4,10%.sql 說明:這個指令碼能讓Mysql中的資料庫自動匯出為SQL文件,並且用RAR壓縮。檔案名為當前日期。由於%date%多次動態取值,如果兩句話執行的時間剛好跨過午夜,第二句會找不到相應的.sql文件。如此可建議你改第一句把%date:~4,10%賦給一個變數,以後用這個變數。 |
__________________ |
|
送花文章: 3,
|
2006-07-05, 05:54 AM | #4 (permalink) |
榮譽會員
|
MySQL資料庫配置技巧
MySQL服務器,那麼,資料庫用戶就擁有了root用戶的寫權限。不過MySQL還是做了一些限制的,比如LOAD DATA INFILE只能讀全局可讀的文件 ,SELECT ... INTO OUTFILE不能覆蓋已經存在的文件。 本機的日誌文件也不能忽視,包括shell的日誌和MySQL自己的日誌。有些用戶在本機登入或備份資料庫的時候為了圖方便,有時會在命令行參 數里直接帶了資料庫的密碼,如: shell>/usr/local/mysql/bin/mysqldump -uroot -ptest test>test.sql shell>/usr/local/mysql/bin/mysql -uroot -ptest 這些命令會被shell記錄在歷史文件裡,比如bash會寫入用戶目錄的.bash_history文件,如果這些文件不慎被讀,那麼資料庫的密碼就會洩漏 。用戶登入資料庫後執行的SQL命令也會被MySQL記錄在用戶目錄的.mysql_history文件裡。如果資料庫用戶用SQL語句修改了資料庫密碼,也會 因.mysql_history文件而洩漏。所以我們在shell登入及備份的時候不要在-p後直接加密碼,而是在提示後再輸入資料庫密碼。 另外這兩個文件我們也應該不讓它記錄我們的操作,以防萬一。 shell>rm .bash_history .mysql_history shell>ln -s /dev/null .bash_history shell>ln -s /dev/null .mysql_history 上門這兩條命令把這兩個文件鏈接到/dev/null,那麼我們的操作就不會被記錄到這兩個文件裡了。 編程需要注意的一些問題 不管是用哪種程式語言寫連接MySQL資料庫的程式,有一條準則是永遠不要相信用戶提交的資料! 對於數位字段,我們要使用查詢語句:SELECT * FROM table WHERE ID='234',不要使用SELECT * FROM table WHERE ID=234這樣的查詢語句 。MySQL會自動把字串轉換為數位字元並且去除非數位字元。如果用戶提交的資料經過了mysql_escape_string處理,這樣我們就可以完全杜絕 了sql inject攻擊,關於sql inject攻擊請參考下面鏈接的文章: http://www.spidynamics.com/papers/SQ...WhitePaper.pdf http://www.ngssoftware.com/papers/ad..._injection.pdf 各種編程語言該注意的問題: 1)所有Web程式: a)嘗試在Web表單輸入單引號和雙引號來測試可能出現的錯誤,並找出原因所在。 b)修改URL參數帶的%22 ('"'), %23 ('#'), 和 %27 (''')。 c)對於數位字段的變數,我們的應用程式必須進行嚴格的檢查,否則是非常危險的。 d)檢查用戶提交的資料是否超過字段的長度。 e)不要給自己程式連接資料庫的用戶過多的訪問權限。 2)PHP: a)檢查用戶提交的資料在查詢之前是否經過addslashes處理,在PHP 4.0.3以後提供了基於MySQL C API的函數mysql_escape_string()。 3)MySQL C API: a)檢查查詢字串是否用了mysql_escape_string() API調用。 4)MySQL++: a)檢查查詢字串是否用了escape和quote處理。 5)Perl DBI: a)檢查查詢字串是否用了quote()方法。 6)Java JDBC: a)檢查查詢字串是否用了PreparedStatement對象。 4、一些小竅門 1)如果不慎忘記了MySQL的root密碼,我們可以在啟動MySQL服務器時加上參數--skip-grant-tables來跳過授權表的驗證 (./safe_mysqld --skip-grant-tables &),這樣我們就可以直接登入MySQL服務器,然後再修改root用戶的口令,重啟MySQL就可以用新口令登入了。 2)啟動MySQL服務器時加上--skip-show-database使一般資料庫用戶不能瀏覽其它資料庫。 3)啟動MySQL服務器時加上--chroot=path參數,讓mysqld守護工作行程執行在chroot環境中。這樣SQL語句LOAD DATA INFILE和SELECT ... INTO OUTFILE就限定在chroot_path下讀寫文件了。這裡有一點要注意,MySQL啟動後會建立一個mysql.sock文件,預定是在/tmp目錄下。使用了 chroot後,MySQL會在chroot_path/tmp去建立mysql.sock文件,如果沒有chroot_path/tmp目錄或啟動MySQL的用戶沒有這個目錄寫權限就不能 建立mysql.sock文件,MySQL會啟動失敗。比如我們加了--chroot=/usr/local/mysql/啟動參數,那麼最好建立一個啟動MySQL的用戶能寫的 /usr/local/mysql/tmp目錄,當然我們也可以用--socket=path來指定mysql.sock文件的路徑,但這個path一定要在chroot_path裡面。 4)啟動MySQL服務器時加上--log-slow-queries[=file]參數,這樣mysqld會把SQL命令執行時間超過long_query_time的寫入file文件。如果沒 有指定=file,mysqld預定會寫到資料目錄下的hostname-slow.log。如果只指定了filename,沒有指定路徑,那麼mysqld也會把filename寫到 資料目錄下。我們通過這個日誌文件可以找出執行時間超長的查詢語句,然後盡可能的優化它減輕MySQL服務器的負擔。 5)如果我們只需本機使用MySQL服務,那麼我們還可以加上--skip-networking啟動參數使MySQL不監聽任何TCP/IP連接,增加安全性。(非常推 薦) |
送花文章: 3,
|