SQL Hacking

Xakep, номер #030, стр. 030-044-1

Денис Мысенко (denis@mysenko.com)

Для начала немного опишу саму технологию SQL, ведь тебе надо знать, что ты, собственно, будешь ломать.

Вообще база данных SQL представляет собой набор банальных таблиц, где каждая колонка содержит данные определенного типа. Этим типом может быть число, строка, текст до 64 килобайт и кучка промежуточных вещей, добавленных с целью максимально оптимизировать размеры некоторых баз данных. В UNIX БД MySQL представляет собой простой каталог с файлами таблиц. Почему все юзают столь простую базу? SQL славится скоростью и юзабельностью.

Ну, так вот, в SQL есть несколько основных команд работы с данными из базы - это SELECT, INSERT, UPDATE, DELETE, DROP. Признаком конца команды является точка с запятой. Опишем коротко каждую из основных команд.

SELECT

Функция: вывод данных из таблицы.

Синтаксис: SELECT <названия полей> FROM <название таблицы> WHERE <название поля>=<значение>;

Параметр WHERE не обязателен, а команда

SELECT * FROM users;

покажет все данные таблицы "users".

INSERT

Функция: ввод данных в таблицу.

Синтаксис: INSERT INTO <название таблицы> (<перечисление полей>) VALUES (<значения полей>);

К примеру,

INSERT INTO users (login, password) VALUES ('hawker', 'qwerty');

вставит в таблицу "users" новую строку, причем в столбике "login" будет значится "hawker", а в столбике "password" - "qwerty".

UPDATE

Функция: модификация данных в базе.

Синтаксис: UPDATE <название таблицы> SET <название поля>=<значение поля>,..,<...>=<...> WHERE <название поля>=<значение поля>;

К примеру,

UPDATE users SET password='asdfg' WHERE login='hawker';

поменяет поле "password" в строке, добавленной выше.

DELETE

Функция: удаление данных из базы.

Синтаксис: DELETE FROM <название таблицы> WHERE <название поля>=<значение поля>;

К примеру,

DELETE FROM users WHERE login='hawker';

удалит строку, добавленную выше.

DROP

Функция: удаление таблицы.

Синтаксис: DROP TABLE <название таблицы>:

К примеру,

DROP TABLE users;

сотрет всю таблицу "users".

Плюс к описанным командам есть еще: "CREATE DATABASE <имя базы>;" - для создания новой базы данных, "USE <имя базы>;" - для переключения текущей базы данных и "GRANT <права> ON <имя базы>.<имя таблицы> TO <юзер>@<хост> IDENTIFIED BY 'пароль';" (к примеру, "GRANT all ON haxor.* TO hekker@localhost IDENTIFIED BY 'zloipass';" - добавит юзера "hekker" с паролем "zloipass" и всеми правами на базу данных "haxor").

Так, с основными командами мы познакомились. Теперь немного о том, где встречаются базы SQL. Вообще, сейчас популярно юзать MySQL + Perl или PHP. То есть в SQL хранятся какие-то данные, скажем, сообщения гостевухи или названия/URL порно-картинок, а Perl/PHP-скрипт обеспечивает доступ к имеющейся базе через Web. Туча народа активно юзает предложенную технологию, добавляя на своих сайтах SQL форумы, гостевухи, базы mp3-файлов. И, конечно, почти никто не задумывается о безопасности содеянного. Надо отметить, что доступ к базе данных SQL происходит после авторизации, для которой юзаются логин и пароль. К примеру, у MySQL эти данные хранятся в базе "mysql", таблице "users". У каждого юзера устанавливаются свои привилегии - что он может, а чего нет и в какой таблице/базе.

Содержание  Вперед на стр. 030-044-2

ttfb: 3.0992031097412 ms