黄色毛片在线播放,9月婷婷人人澡人人添

您當(dāng)前所在位置：首頁 → 數(shù)據(jù)庫 → MSSQL → 在SQL Server中正確使用參數(shù)報(bào)表

在SQL Server中正確使用參數(shù)報(bào)表 時(shí)間：2015-06-28 00:00:00 來源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評論(0)

　　對于任何數(shù)據(jù)庫來說，報(bào)表應(yīng)用是其不可缺少的一部分。在SQLServer數(shù)據(jù)庫中，提供了一個(gè)幫助管理員設(shè)計(jì)、創(chuàng)建、管理報(bào)表的工具，即報(bào)表服務(wù)器。通過這個(gè)報(bào)表服務(wù)器可以讓報(bào)表的創(chuàng)建更加的簡單，安全更加有保證。不過這個(gè)報(bào)表工具能否發(fā)揮其應(yīng)有的作用，最好還是要看報(bào)表工具的使用者，是否掌握了相關(guān)的使用技巧。筆者這次要跟各位讀者討論的就是，在SQLServer數(shù)據(jù)庫如何正確使用帶參數(shù)的報(bào)表。

　　一、帶報(bào)表參數(shù)的典型應(yīng)用。

　　在一個(gè)報(bào)表中加入?yún)?shù)，最直接的結(jié)果就是可以提高查詢語句的重復(fù)利用性。如用戶可以通過更改參數(shù)來調(diào)整顯示的結(jié)果等等。對于這些常規(guī)的應(yīng)用筆者不做過多的闡述。筆者現(xiàn)在要說的是，帶參數(shù)報(bào)表的一些高級應(yīng)用。

　　參數(shù)報(bào)表比較高級的應(yīng)用就是實(shí)現(xiàn)報(bào)表鉆取。鉆取是改變維的層次，變換分析的粒度。它包括向上鉆取和向下鉆取。向上鉆取是在某一維上將低層次的細(xì)節(jié)數(shù)據(jù)概括到高層次的匯總數(shù)據(jù)，或者減少維數(shù)；向下鉆取是指自動(dòng)生成匯總行的分析方法。簡單的說，現(xiàn)在數(shù)據(jù)庫中有一張銷售訂單表。根據(jù)這張表可以生成一張各個(gè)月份的銷售統(tǒng)計(jì)表。但是，有可能用戶在查看這張報(bào)表的時(shí)候，對某個(gè)月份的統(tǒng)計(jì)結(jié)果有懷疑，為此需要查看這個(gè)月份的銷售明細(xì)。此時(shí)如果利用帶參數(shù)的報(bào)表實(shí)現(xiàn)鉆取功能的話，那么就不需要重新查詢或者生成報(bào)表。而只需要直接在這張報(bào)表上點(diǎn)擊月份，系統(tǒng)就會自動(dòng)打開另外一張報(bào)表。這張報(bào)表中的內(nèi)容就是這月份的銷售明細(xì)。從技術(shù)的角度講，就是通過參數(shù)的傳遞，將這張報(bào)表的時(shí)間信息作為另一張報(bào)表的查詢參數(shù)。從而讓系統(tǒng)自動(dòng)根據(jù)這個(gè)參數(shù)來生成相應(yīng)的數(shù)據(jù)，從而簡化用戶的操作。

　　二、帶參數(shù)報(bào)表要避免注入式攻擊。

　　在使用參數(shù)報(bào)表的時(shí)候，特別需要注意一點(diǎn)就是防止注入式攻擊。注入式攻擊各位讀者或許都了解。可是對于為什么使用參數(shù)的報(bào)表容易引起注入式攻擊，可能大家并不怎么了解。這主要是因?yàn)閰?shù)如果采用的是string數(shù)據(jù)類型所造成的。即如果參數(shù)采用的是string數(shù)據(jù)類型，那么就表示用戶可以根據(jù)需要輸入任何類型的字符串。此時(shí)如果用戶輸入了一些注入式攻擊的代碼當(dāng)作參數(shù)，則就可能會導(dǎo)致注入式攻擊。為此如果生成報(bào)表時(shí)，采用的參數(shù)時(shí)String數(shù)據(jù)類型的，就需要特別的注意。為了防止這個(gè)注入式攻擊，筆者建議如果采用的參數(shù)一定要是String數(shù)據(jù)類型的話，那么最好能夠遵循下面的規(guī)則。DB2數(shù)據(jù)庫與SQLServer數(shù)據(jù)庫的異同

　　首先，在客戶端將報(bào)表查詢語句傳遞給數(shù)據(jù)庫之前，即將參數(shù)復(fù)制給Select語句之前，最好進(jìn)行驗(yàn)證。即要驗(yàn)證輸入的參數(shù)值中，是否存在一些特殊的符號。這些符號往往跟輸入攻擊有關(guān)。如果存在這些特殊字符的話，則需要向用戶提供警告信息，表明存在注入式攻擊的可能性。并且，系統(tǒng)可以拒絕接受這個(gè)參數(shù)。這個(gè)避免注入式攻擊的方法比較消極。如果這些特殊符號確實(shí)是查詢參數(shù)中包含的內(nèi)容，那么也無法使用。

　　其次，可以通過值列表的方式來向數(shù)據(jù)庫傳遞參數(shù)。在沒有提供值列表的情況下，如果參數(shù)是字符類型的，則系統(tǒng)向用戶顯示的是一個(gè)可以使用任何值的文本框。此時(shí)數(shù)據(jù)庫管理員可以使用可用值列表的方式來規(guī)范化參數(shù)的輸入，限制其輸入一些特殊的字符。也就是說，在定義 String類型的參數(shù)報(bào)表時(shí)，讓系統(tǒng)向用戶顯示一個(gè)下拉的列表框，然后用戶通過選擇來指定參數(shù)。這個(gè)操作就跟Excel表格中的下拉列框差不多，用戶只能夠選擇數(shù)據(jù)庫管理員所提供的值，或者說只能夠選擇某張表中存在的值。由于用戶不能夠自己輸入值，而只能夠選擇，這就可以有效的避免注入式攻擊。不過采用這種方式有一個(gè)缺陷，就是如果有效的值太多的話，這個(gè)列表就會很長。為此用戶在選擇參數(shù)的時(shí)候，就會很麻煩。如當(dāng)有效值有500個(gè)的話，那么就需要在 500個(gè)值中選擇一個(gè)值，顯然這有點(diǎn)困難。即使按照參數(shù)的名字順序來排列，選擇也是比較麻煩的。大內(nèi)存SQLServer數(shù)據(jù)庫的加速劑

　　第三，可以利用列表查詢的方式，來避免注入式攻擊。即當(dāng)用戶輸入一個(gè)參數(shù)之后，系統(tǒng)會自動(dòng)從一個(gè)列表中查詢是否存在這個(gè)值。如果存在的話，則將這個(gè)參數(shù)賦值給查詢語句中的變量。如果不存在的話則提醒用戶參數(shù)可能輸入錯(cuò)誤。如現(xiàn)在有一張銷售訂單明細(xì)報(bào)表。用戶可能需要根據(jù)訂單號碼來查詢銷售訂單明細(xì)。此時(shí)這個(gè)訂單號碼就是一個(gè)字符型的參數(shù)。當(dāng)用戶輸入這個(gè)參數(shù)的時(shí)候，并不是馬上傳遞給數(shù)據(jù)庫，這么做太危險(xiǎn)，容易產(chǎn)生注入式攻擊。而是前臺應(yīng)用程序也從后臺數(shù)據(jù)庫中取得所有的銷售訂單的訂單號碼信息。當(dāng)用戶輸入?yún)?shù)之后，前臺應(yīng)用程序會把這個(gè)用戶輸入的參數(shù)跟自己查詢出來的信息先進(jìn)行對比。如果有匹配的信息，就將這個(gè)參數(shù)傳遞給后臺數(shù)據(jù)庫。如果沒有的話，就向用戶報(bào)告錯(cuò)誤的信息。有些應(yīng)用程序在設(shè)計(jì)的時(shí)候，還會更進(jìn)一步。如客戶端程序會先從數(shù)據(jù)庫中取得訂單號碼與對應(yīng)的訂單ID。當(dāng)用戶輸入?yún)?shù)之后，會進(jìn)行比對。如果比對成功的話，那么客戶端應(yīng)用程序會將這個(gè)訂單號碼對應(yīng)的訂單ID作為參數(shù)傳遞給查詢語句。也就是說，從數(shù)據(jù)庫服務(wù)器角度來講，真正的參數(shù)是訂單ID（整數(shù)型數(shù)據(jù)類型）而不是訂單號碼（字符串?dāng)?shù)據(jù)類型）。通過這個(gè)數(shù)據(jù)類型轉(zhuǎn)換，從而可以從根本上防止注入式的攻擊。

　　以上三種方式都可以很有效的避免注入式攻擊。數(shù)據(jù)庫管理員需要根據(jù)實(shí)際應(yīng)用來選擇合適的解決方案。如當(dāng)有效值比較少的時(shí)候，如按年份來統(tǒng)計(jì)銷售訂單時(shí)，則可以使用列表的形式。當(dāng)有效值比較多，特別是這個(gè)有效值會自動(dòng)增長的時(shí)候，則可以使用列表查詢的方式。總之一個(gè)基本的原則，對于String參數(shù)，一定要進(jìn)行驗(yàn)證其合法性。否則的話，很容易造成注入式攻擊。

　　三、對于日期型的數(shù)據(jù)給與特殊的照顧。

　　日期型的數(shù)據(jù)是數(shù)據(jù)庫中最容易出現(xiàn)問題的一個(gè)數(shù)據(jù)類型。因?yàn)椴煌Z言環(huán)境下，如英語與漢語環(huán)境下，其采用的日期格式是不同的。如果數(shù)據(jù)庫中定義了某個(gè)日期格式，而輸入的參數(shù)如果不符合這個(gè)格式的話，則系統(tǒng)就會認(rèn)為這條記錄不存在，從而在報(bào)表中查詢不到相關(guān)的數(shù)據(jù)。為此如果在報(bào)表中要使用日期型數(shù)據(jù)參數(shù)的話，將會是一件比較麻煩的事情。所以，在應(yīng)用程序設(shè)計(jì)時(shí)，數(shù)據(jù)庫管理員最好提醒前臺應(yīng)用程序的設(shè)計(jì)者，能夠規(guī)范化日期的格式。如可以要求他們，對于日期型的數(shù)據(jù)作為參數(shù)時(shí)，用戶不能夠手工輸入日期。因?yàn)椴煌挠脩糨斎肓?xí)慣不同，如有些人會按年月日的格式輸入（有些用戶會把8月份寫成08，而有些直接寫成8），有些人則會按月、日、年的格式進(jìn)行輸入。由于格式不統(tǒng)一，那么數(shù)據(jù)庫就很難按照同一個(gè)規(guī)則進(jìn)行轉(zhuǎn)換。為此，對于日期型的數(shù)據(jù)作為參數(shù)時(shí)，最好在前臺應(yīng)用程序中能夠規(guī)范化輸入的格式。如以一個(gè)統(tǒng)計(jì)的格式輸入。要做到這一點(diǎn)的話，就可以通過一個(gè)日期型的控件來完成。即用戶不能夠手工輸入日期型的數(shù)據(jù)。當(dāng)遇到某個(gè)參數(shù)時(shí)日期型的數(shù)據(jù)時(shí)，當(dāng)鼠標(biāo)定位到這個(gè)文本框，則系統(tǒng)就會彈出一個(gè)類似日歷的界面。用戶只有通過選擇日期來輸入日期型的數(shù)據(jù)，從而規(guī)范化用戶的輸入。另外也可以通過掩碼的方式來規(guī)范用戶輸入的格式。即預(yù)先規(guī)定年月日的輸入掩碼。用戶在輸入的時(shí)候必須按照這個(gè)格式，否則的話，系統(tǒng)不會接受用戶的輸入。這兩種方式都可以實(shí)現(xiàn)對日期數(shù)據(jù)的規(guī)范化。

　　當(dāng)用戶按照同一個(gè)格式輸入日期數(shù)據(jù)后，以后的工作就容易處理了。在將參數(shù)傳遞給數(shù)據(jù)庫的時(shí)候，可以在查詢語句中加入一個(gè)日期型數(shù)據(jù)的強(qiáng)制轉(zhuǎn)換語句。將輸入的日期型數(shù)據(jù)按照系統(tǒng)表中定義的日期型數(shù)據(jù)進(jìn)行轉(zhuǎn)換。即如果前臺客戶端輸入的日期型數(shù)據(jù)格式是日、月、年（只要輸入的內(nèi)容統(tǒng)一即可，沒有具體的要求），然后在查詢語句中就可以通過數(shù)據(jù)類型轉(zhuǎn)換工具對數(shù)據(jù)類型進(jìn)行轉(zhuǎn)換。如將日、月、年表示的字符型數(shù)據(jù)類型表示會年、月、日的日期型數(shù)據(jù)類型。如此的話，就可以保證用戶輸入的參數(shù)是數(shù)據(jù)庫可以識別的。就可以避免因?yàn)槿掌诟袷讲灰恢禄蛘邤?shù)據(jù)類型不一致而導(dǎo)致報(bào)表不能夠抓取記錄。

關(guān)鍵詞標(biāo)簽：SQL Server

相關(guān)閱讀

文章評論

查看所有0條評論>>