数据库 – 第2页

11月 12, 2021

Mysql中如何建唯一性约束表

作者 5xue 在数据库

1. 单列唯一性约束
a. 直接建表
CREATE TABLE t1 (
id INT NOT NULL ,
uname VARCHAR( 20 ) NOT NULL ,
PRIMARY KEY ( id ) ,
UNIQUE (uname)) ENGINE = MYISAM ;

b. 删除唯一性约束
ALTER TABLE t1 DROP INDEX uname

c. 添加唯一性约束
ALTER TABLE t1 ADD UNIQUE (uname)

2. 2列联合唯一性约束
a. 直接建表
CREATE TABLE t1 (
id int(11) NOT NULL AUTO_INCREMENT,
user int(11) NOT NULL,
subacount varchar(40) NOT NULL,
PRIMARY KEY (id),
UNIQUE KEY user (user,subacount)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;

b. 删除联合唯一性约束
ALTER TABLE t1 DROP INDEX user

c. 添加联合唯一性约束
ALTER TABLE t1 ADD UNIQUE user (user,subacount)

1月 22, 2021

Air应用自定义sqlite数据库文件位置

作者 5xue 在 Flash, 数据库

import flash.filesystem.*;
import flash.utils.ByteArray;
import flash.data.SQLConnection;
import flash.data.SQLMode;
import flash.data.SQLStatement;
import flash.data.SQLResult;

//.....

var fn:String = File.applicationDirectory.nativePath + "/db/t1.db";
var dbFile:File = new File(fn);
var dir:File = dbFile.parent;
if (!dir.exists) {
	dir.createDirectory();
}
var conn:SQLConnection = new SQLConnection();
conn.open(dbFile);

//......

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

import flash.filesystem.*;

import flash.utils.ByteArray;

import flash.data.SQLConnection;

import flash.data.SQLMode;

import flash.data.SQLStatement;

import flash.data.SQLResult;

//.....

var fn:String = File.applicationDirectory.nativePath + "/db/t1.db";

var dbFile:File = new File(fn);

var dir:File = dbFile.parent;

if (!dir.exists) {

dir.createDirectory();

}

var conn:SQLConnection = new SQLConnection();

conn.open(dbFile);

//......

1月 9, 2021

可预防数据库攻击的mysql_real_escape_string函数

作者 5xue 在 php开发, 数据库

下例代码没使用mysql_real_escape_string()函数：

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con) {
	die('Could not connect: ' . mysql_error());
}
$sql = "SELECT * FROM users WHERE user='{$_POST['user']}' AND password='{$_POST['pwd']}'";
mysql_query($sql);

...

mysql_close($con);
?>

1

2

3

4

5

6

7

8

9

10

11

12

<?php

$con = mysql_connect("localhost", "hello", "321");

if (!$con) {

die('Could not connect: ' . mysql_error());

}

$sql = "SELECT * FROM users WHERE user='{$_POST['user']}' AND password='{$_POST['pwd']}'";

mysql_query($sql);

...

mysql_close($con);

?>

如果用户输入信息如下：
$_POST[‘user’] = “john”;
$_POST[‘pwd’] = “‘ OR ‘‘=‘”;

则SQL查询会成为这样：
SELECT * FROM users WHERE user=’john’ AND password=” OR ”=”

这意味着用户不用输入正确信息也可以通过sql的查询语句，获得相应权限。

上述代码存在着很大的安全隐患，如果改成这样，则会好很多：

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con) {
	die('Could not connect: ' . mysql_error());
}
$uname = mysql_real_escape_string($_POST['user']);
$upwd = mysql_real_escape_string($_POST['pwd']);
$sql = "SELECT * FROM users WHERE user='{$uname}' AND password='{$upwd}'";
mysql_query($sql);

...

mysql_close($con);
?>

1

2

3

4

5

6

7

8

9

10

11

12

13

14

<?php

$con = mysql_connect("localhost", "hello", "321");

if (!$con) {

die('Could not connect: ' . mysql_error());

}

$uname = mysql_real_escape_string($_POST['user']);

$upwd = mysql_real_escape_string($_POST['pwd']);

$sql = "SELECT * FROM users WHERE user='{$uname}' AND password='{$upwd}'";

mysql_query($sql);

...

mysql_close($con);

?>

mysql_real_escape_string()函数对下列字符产生影响：
● \x00
● \n
● \r
● \
● ‘
● ”
● \x1a

参考资料：http://www.w3school.com.cn/php/func_mysql_real_escape_string.asp

此例已验证。

分类目录数据库