数据库总是被攻击，怎样解决

目前，针对应用及其后台数据库的应用级入侵已经变得越来越猖獗，如SQL注入、跨站点脚本攻击和未经授权的用户访问等。所有这些入侵都有可能绕过前台安全系统并对数据来源发起攻击。

为了对付这类威胁，新一级别的安全脱颖而出，这就是应用安全。这种安全技术将传统的网络和 *** 作系统级入侵探测系统(IDS)概念应用于数据库(即应用)。与通常的网络或 *** 作系统解决方案不同的是，应用IDS提供主动的、针对SQL的保护和监视，可以保护数以千计的预先包装或自行开发的Web应用。例如，应用IDS可以监视和防护关键的数据，使那些针对数据库的攻击，如缓冲区溢出和Web应用攻击等无法对数据库造成真正的损害，而且应用IDS还可以对这些事件进行审查。

应用安全与网络和主机安全之间存在很大的区别。应用是千差万别的，但攻击的目标总是相同的，也就是入侵数据库。由于应用使用SQL与数据库进行通信，因此好的应用IDS应当能够解析SQL，并且提供一种能够理解流量的内容，且又能与应用划清界线的客观保护层。

多数应用IDS都有三个组件。第一个是基于网络或主机的传感器。网络传感器连接到交换机上的一个端口上，该端口的配置决定它可以查看到数据库内的所有流量。相比之下，主机传感器直接驻留在应用上。传感器可以收集SQL交易并对其进行解析，然后决定是否应当针对该流量发出警报。如果有必要发出警告，警告会被传递给下一个组件，即控制台服务器。这台服务器存储事件信息，并且是策略配置和升级等传感器维护活动的中心点。应用IDS中的第三个组件是Web浏览器，管理员可以利用它来修改IDS设置、实时监视事件并生成报告。

以SQL注入攻击为例，攻击者会试图绕过Web服务器定义的SQL语句，目的就是要注入自己的语句。假设要输入的用户名为Bob，口令为Hardtoguess。

当看到这些输入的内容后，数据库就会找到WebUsers 行中与之匹配的内容，然后该应用会对用户进行验证。为了入侵数据库，SQL注入攻击会欺骗应用，并使之相信自己已经提交了正确的证书。例如，攻击使用的口令是‘blah’或‘A’=‘A’，因此攻击时创建的SQL语句可能会是:SELECT FROM WebUsers WHERE Username=‘Bob’ AND Password=‘blah’ OR‘A’=‘A’。　

从逻辑上来分析‘A’=‘A’永远都是TRUE，而WHERE子句也可以匹配所有的行，就这样，攻击者在根本没有正确用户名或口令的情况下也能蒙混过关，得到验证。应用服务器会接受输入的信息并且允许攻击者通过。接下来，应用服务器会通过SQL命令从数据库中请求数据。　

如果有了应用IDS，传感器会收集SQL命令并对其进行解密，然后查看这些命令到底要访问数据库中的哪些表和列。利用这种方法，传感器就可以判断出到底是正常情况还是一次攻击行为。如果发现的行为是IDS策略不允许的，传感器会判断攻击的威胁水平并采取适当的措施，通常是向管理员的控制台和/或通过电子邮件发出警告。

这只是应用层攻击的一个简单例子，而且今天的许多公司都在面临这样的威胁。通过实施应用级IDS，企业就可以有效地保护易受攻击的数据，并且将最新的攻击和威胁拒之门外。

设置过滤关键字：按关键字过滤，编辑短信GJZ+#+“关键字”发至10659190，其他业务指令如下：1、暂停短信过滤指令：暂停过滤业务编辑短信ZTGL发至106591902、激活短信过滤指令：激活过滤业务，过滤条件和暂停前的过滤条件一样。编辑短信JHGL发至106591903、设置过滤时段：编辑短信SZGL+#+“开始时间”+#+“结束时间”发至106591904、查询短信过滤状态指令：查询过滤业务是否激活，编辑短信CXGL发至106591905、查询黑名单指令：编辑短信QBL发至106591906、增加黑名单指令：编辑短信GLHM+#+“手机号码”发至106591907、删除黑名单指令：编辑短信DBL+#+“手机号码”发至106591908、查询白名单指令：编辑短信QWL发至106591909、增加白名单指令：编辑短信AWL+#+“手机号码”发至1065919010、删除白名单指令：编辑短信DWL+#+“手机号码”发至1065919011、过滤号码：按号码过滤，编辑短信GLHM#号码发至10659190用户订购业务后，还可以通过登录自服务网站进行相关子业务个性设置。具体按照网站上 *** 作帮助指导来进行设置。了解更多服务优惠点击下方的“官方网址”客服95为你解答。

SQL数据库中， DISTINCT表示去掉重复的行，作用是针对包含重复值的数据表，用于返回唯一不同的值。语法是SELECT DISTINCT 列名称 FROM 表名称。如果指定了 SELECT DISTINCT，那么 ORDER BY 子句中的项就必须出现在选择列表中，否则会出现错误。

对于 DISTINCT关键字，如果后面有多个字段，则代表着是多条件去重，只有当这几个条件都相同时才算是重复记录。

扩展资料：

用法说明如下：

SELECT DISTINCT 列名称 FROM 表名称使用 DISTINCT 关键词

如果要从 "Company" 列中选取所有的值，需要使用 SELECT 语句：

SELECT Company FROM Orders"Orders"表：

Company OrderNumber

IBM 3532

W3School 2356

Apple 4698

W3School 6953

结果：

Company

IBM

W3School

Apple

W3School

尽管DISTINCT用于过滤重复记录。 但是通常在使用时，仅使用其来返回唯一记录的数量，而不是使用其来返回非重复记录的所有值。 原因是DISTINCT只能通过双循环查询来解决，这无疑将直接影响具有大量数据的站点的效率。

一般情况下，数据库去重复有以下那么三种方法：

第一种：

两条记录或者多条记录的每一个字段值完全相同，这种情况去重复最简单，用关键字distinct就可以去掉。例：

SELECT DISTINCT  FROM TABLE

第二种：

两条记录之间之后只有部分字段的值是有重复的，但是表存在主键或者唯一性ID。如果是这种情况的话用DISTINCT是过滤不了的，这就要用到主键id的唯一性特点及group by分组。例：

SELECT  FROM TABLE WHERE ID IN (SELECT MAX(ID) FROM TABLE GROUP BY [去除重复的字段名列表,])

第三种：

两条记录之间之后只有部分字段的值是有重复的，但是表不存在主键或者唯一性ID。这种情况可以使用临时表，讲数据复制到临时表并添加一个自增长的ID，在删除重复数据之后再删除临时表。例：

//创建临时表，并将数据写入到临时表

SELECT IDENTITY(INT1,1) AS ID, INTO NEWTABLE(临时表) FROM TABLE

//查询不重复的数据

SELECT  FROM NEWTABLE WHERE ID IN (SELECT MAX(ID) FROM NEWTABLE GROUP BY [去除重复的字段名列表,])

//删除临时表

DROP TABLE NEWTABLE

我把问题和赞同最多的答题翻译了下来。提问：如果用户的输入能直接插入到SQL语句中，那么这个应用就易收到SQL注入的攻击，举个例子：$unsafe_variable = $_POST['user_input']; mysqli_query("INSERT INTO table (column) VALUES ('" $unsafe_variable "')");用户可以输入诸如 ： value'); DROP TABLE table;-- ,SQL语句就变成这样了:INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')(译者注：这样做的结果就是把table表给删掉了) 我们可以做什么去阻止这种情况呢？回答：使用prepared statements（预处理语句）和参数化的查询。这些SQL语句被发送到数据库服务器，它的参数全都会被单独解析。使用这种方式，攻击者想注入恶意的SQL是不可能的。要实现这个主要有两种方式：1 使用 PDO：$stmt = $pdo->prepare('SELECT FROM employees WHERE name = :name'); $stmt->execute(array(':name' => $name)); foreach ($stmt as $row) { // do something with $row }2 使用 Mysqli：$stmt = $dbConnection->prepare('SELECT FROM employees WHERE name = '); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }PDO需要注意的是使用PDO去访问MySQL数据库时，真正的prepared statements默认情况下是不使用的。为了解决这个问题，你需要禁用模拟的prepared statements。下面是使用PDO创建一个连接的例子：$dbConnection = new PDO('mysql:dbname=dbtest;host=127001;charset=utf8', 'user', 'pass'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);上面的例子中，错误报告模式并不是强制和必须的，但建议你还是添加它。通过这种方式，脚本在出问题的时候不会被一个致命错误终止，而是抛出PDO Exceptions，这就给了开发者机会去捕获这个错误。然而第一行的 setAttribute() 是强制性的，它使得PDO禁用模拟的prepared statements并使用真正的prepared statements。这可以确保这些语句和值在被发送到MySQL服务器之前不会被PHP解析（这使得攻击者没有注入恶意SQL的机会）。尽管你可以使用可选的构造函数参数去设置 charset ，但重点需要注意的是小于536的PHP版本，DSN(Data Source Name)是默认忽略 charset 参数的。说明当你传一个SQL语句做预处理时会发生什么？它被数据库服务器解析和编译了。通过指定参数（通过之前例子中的 或者像 :name 这样的命名式参数）你告诉数据库引擎你是想过滤它。接着当你调用 execute() 函数时，prepared statements会和你刚才指定的参数的值结合。在此重要的是，参数的值是和编译过的语句结合，而非一个SQL字符串。SQL注入就是当创建被发送到数据库的SQL语句时，通过欺骗的手段让脚本去引入恶意的字符串。因此当你使用单独的参数发送真实正确的SQL时，你就限制了被某些不是你真实意图的事情而搞挂掉的风险。使用prepared statements 传递的任何参数都会被当做字符串对待（不过数据库引擎可能会做一些优化，这些参数最终也可能变成numbers）（译者注：意思就是把参数当做一个字符串而不会去做额外的行为）。比如在上面的例子中，如果 $name 变量的值是 'Sarah'; DELETE FROM employees ，产生的结果是会去搜索"'Sarah'; DELETE FROM employees"这一整个字符串，最终的结果你也就不会面对的是一张空表了。使用prepared statements的另一个好处是，如果你在同一session中再次执行相同的语句，也就不会被再次解析和编译，这样你就获得一些速度上的提升。

数据库中的关键字是指，关键字是惟一能标识一个记录的数据项。

在数据库中一个表或一个文件中可能存储着很多记录，为了能惟一地标识一个记录，必须在一个记录的各个数据项中，确定出一个或几个数据项，把它们的集合称为关键字。通常，只需用一个数据项作为关键字。但是为了将数据之间的关系连续起来，记录可以有多个关键字。

扩展资料：

通过关键字可以知道哪些文件和表是有联系的，可以为有关数据库 *** 作和数据分析

提供方便，例如常见表的合并；还通过关键字来测试系统存取效率。关键字的速度与数据库文件的逻辑结构和物理结构有关。

关键字的多少与文件是单关键字文件还是多关键字文件有关。若文件中的一个记录只有一个惟一标识记录的主关键字

，则称单关键字文件；若文件中的记录除了含有一个主关键字外，还含有若干个次关键字，则称为多关键字文件。

以上就是关于数据库总是被攻击，怎样解决全部的内容，包括:数据库总是被攻击，怎样解决、短信过滤业务是怎么设置过滤关键字、数据库中 DISTINCT 的作用是什么等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！