文档中心

import java.awt.Color;
import java.awt.Graphics;
import java.awt.Graphics2D;

import javax.swing.JFrame;
import javax.swing.JPanel;

public class MyFrame extends JFrame {

         /**
         *
         */
         private
static final long serialVersionUID = 1L;

         class
MyPanel extends JPanel {

                   /**
                   *
                   */
              ......

级别: 初级
刘冬 (winter.lau@163.com), 珠海市创我科技发展有限公司软件工程师
2002 年 12 月 05 日
作者通过使用JAVA中的动态代理实现数据库连接池，使使用者可以以普通的jdbc连接的使用习惯来使用连接池。
数据库连接池在编写应用服务是经常需要用到的模块，太过频繁的连接数据库对服务性能来讲是一个瓶颈，使用缓冲池技术可以来消除这个瓶颈。我们可以在互联网上找到很多关于数据库连接池的源程序，但是都发现这样一个共同的问题：这些连接池的实现方法都不同程度地增加了与使用者之间的耦合度。很多的连接池都要求用户通过其规定的方法获取数据库的连接，这一点我们可以理解，毕竟目前所有的应用服务器取数据库连接的方式都是这种方式实现的。但是另外一个共同的问题是，它们同时不允许使用者显式的调用Connection.close()方法，而需要用其规定的一个方法来关闭连接。这种做法有两个缺点：
第一：改变了用户使用习惯，增加了用户的使用难度。
首先我们来看看一个正常的数据库操作过程：
int executeSQL(String sql) throws SQLException
{
Connection conn = getConnection(); //通过某种方式获取数据库连接
......

当注射mysql库的输入点的时候,我们可以通过version()/user()/database()/password()等内置函数来得到mysql的相关信息,其实我们在注射的时候可以利用mysql内置的变量来得到更多的mysql信息
其中version()可以写成@@version来把version当做变量来读取,这样一样可以得到,其他的内置是不可以写成变量的形式.
大家都应该用过利用pangolin来注入mysql库的注射点,认真的朋友都应该知道可以的得到basedir和datadir这两个变量的信息,其实还有更多的变量在注射的时候可以利用
我整理了几个在注射的时候可以利用到,收集更多关于mysql的配置信息
@@have_openssl                 如果mysqld支持客户端/服务器协议的SSL(加密)则为YES
@@version_compile_os         判断系统类型
@@max_allowed_packet       包或任何生成的/中间字符串的最大大小
@@max_user_connections     MySQL账户允许的最大同时连接数,0表示没限制
@@skip_networking         & ......

黑客入门技术之php+mysql注射语句构造：
一.前言：
测试版本信息：Okphp BBS v1.3 开源版
由于PHP和MYSQL本身得原因,PHP+MYSQL的注射要比asp困难，尤其是注射时语句的构造方面更是个难点，本文主要是借对Okphp BBS v1.3一些文件得简单分析，来谈谈php+mysql注射语句构造方式，希望本文对你有点帮助。
　　声明：文章所有提到的"漏洞"，都没有经过测试，可能根本不存在，其实有没有漏洞并不重要，重要的是分析思路和语句构造。
二."漏洞"分析：
1.admin/login.php注射导致绕过身份验证漏洞：
代码：
$conn=sql_connect($dbhost, $dbuser, $dbpswd, $dbname);
$password = md5($password);
$q = "select id,group_id from $user_table where username='$username' and password='$password'";
$res = sql_query($q,$conn);
$row = sql_fetch_row($res);
$q = "select id,group_id from $user_table where username='$username' and password='$password'"中
$username 和 $password 没过滤，很容易就绕过。
对于select * from $user_table where username='$username' and password='$password'这样的语句改造的方法有：
构造1（利用逻辑运算）：$username=' O ......

MYSQL Cast函数类型转换
BINARY
BINARY操作符将后面的字符串抛给一个二进制字符串。这是一种简单的方式来促使逐字节而不是逐字符的进行列比较。这使得比较区分大小写，即使该列不被定义为 BINARY或 BLOB。BINARY也会产生结尾空白，从而更加显眼。
mysql> SELECT 'a' = 'A';
-> 1
mysql> SELECT BINARY 'a' = 'A';
-> 0
mysql> SELECT 'a' = 'a ';
-> 1
mysql> SELECT BINARY 'a' = 'a ';
-> 0
BINARY影响整个比较；它可以在任何操作数前被给定，而产生相同的结果。
BINARY str 是CAST(str AS BINARY)的缩略形式。
注意，在一些语境中，假如你将一个编入索引的列派给BINARY, MySQL 将不能有效使用这个索引。
假如你想要将一个 BLOB值或其它二进制字符串进行区分大小写的比较，你可利用二进制字符串没有字符集这一事实实现这个目的，这样就不会有文书夹的概念。为执行一个区分大小写的比较，可使用 CONVERT()函数将一个字符串值转化为一个不区分大小写的字符集。其结果为一个非二进制字符串，因此 LIKE 操作也不会区分大小写：
SELECT 'A' LIKE CONVERT(blob_col USING latin1) from tbl_name;
若要使用一个不同的字符 ......

作者：老王三国演义开篇一语道破：合久必分！MySQL的使用亦是如此，面对应用中越来越庞大的数据量，最时髦的解决方案是Shard，不过它的复杂性并不是每个程序员都能驾驭的，如果把架构的演变比作生命的进化，那么Shard可以看做是哺乳动物，很多架构最后之所以失败，就是因为它们步子迈得太大，想从原始生命直接进化成哺乳动物，殊不知这中间还有爬行动物等必经阶段。
在MySQL没有支持Partition之前，如果想把数据分而治之，可以使用MySQL提供的Merge的引擎，例子：
先建立两个结构一样的MyISAM表：
CREATE TABLE foo_1 (
id INT NOT NULL AUTO_INCREMENT PRIMARY KEY,
created DATETIME
) ENGINE=MyISAM;
CREATE TABLE foo_2 (
id INT NOT NULL AUTO_INCREMENT PRIMARY KEY,
created DATETIME
) ENGINE=MyISAM;
再建立MERGE表：
CREATE TABLE foo (
id INT NOT NULL AUTO_INCREMENT PRIMARY KEY,
created DATETIME
) ENGINE=MERGE UNION=(foo_1, foo_2) INSERT_METHOD=LAST;
对调用者而言，MERGE表就像一个UNION语句一样，这样确实很方便，不过它有很多弱点：
首先，它不是完全透明的 ......

Java中Graphics用法

使用JAVA中的动态代理实现数据库连接池

利用mysql的注射点得到更多mysql的信息

php+mysql注射语句构造技术

php+mysql注射语句构造技术

mysql类型转换

MySQL Partition