怎么设置mysql预编译 mysql预编译防止注入

mysql-connector-java-5.1.6支持预编译吗预编译和版本没关系,sql语句中使用PrepareStatement创建的sql就会进行预编译,普通statement不会进行预编译,所以取决于你的调用方式 。
在JDBC编程中,常用Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询,PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程 。
如果想深入可以一个个看一下 。
sql中如何防止and 'f'='f'凡有SQL注入漏洞怎么设置mysql预编译的程序怎么设置mysql预编译 , 都是因为程序要接受来自客户端用户输入的变量或URL传递的参数,并且这个变量或参数是组成SQL语句的一部分,
对于用户输入的内容或传递的参数,我们应该要时刻保持警惕,这是安全领域里的「外部数据不可信任」的原则 , 纵观Web安全领域的各种攻击方式,
大多数都是因为开发者违反了这个原则而导致的,所以自然能想到的,就是从变量的检测、过滤、验证下手,确保变量是开发者所预想的 。
1、检查变量数据类型和格式
如果怎么设置mysql预编译你的SQL语句是类似where id={$id}这种形式,数据库里所有的id都是数字,那么就应该在SQL被执行前,检查确保变量id是int类型;如果是接受邮箱 , 那就应该检查并严格确保变量一定是邮箱的格式 , 其怎么设置mysql预编译他的类型比如日期、时间等也是一个道理 。总结起来怎么设置mysql预编译:只要是有固定格式的变量 , 在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击 。
比如,我们前面接受username参数例子中,我们的产品设计应该是在用户注册的一开始,就有一个用户名的规则 , 比如5-20个字符,只能由大小写字母、数字以及一些安全的符号组成,不包含特殊字符 。此时我们应该有一个check_username的函数来进行统一的检查 。不过,仍然有很多例外情况并不能应用到这一准则,比如文章发布系统,评论系统等必须要允许用户提交任意字符串的场景 , 这就需要采用过滤等其他方案了 。
2、过滤特殊符号
对于无法确定固定格式的变量 , 一定要进行特殊符号过滤或转义处理 。
3、绑定变量,使用预编译语句
MySQL的mysqli驱动提供了预编译语句的支持,不同的程序语言,都分别有使用预编译语句的方法
实际上,绑定变量使用预编译语句是预防SQL注入的最佳方式,使用预编译的SQL语句语义不会发生改变,在SQL语句中,变量用问号?表示,黑客即使本事再大,也无法改变SQL语句的结构
如何设置合理的mysql的参数?[client]\x0d\x0aport = 3306\x0d\x0asocket = /tmp/mysql.sock\x0d\x0a[mysqld]\x0d\x0aport = 3306\x0d\x0asocket = /tmp/mysql.sock\x0d\x0a\x0d\x0abasedir = /usr/local/mysql\x0d\x0adatadir = /data/mysql\x0d\x0apid-file = /data/mysql/mysql.pid\x0d\x0auser = mysql\x0d\x0abind-address = 0.0.0.0\x0d\x0aserver-id = 1 #表示是本机的序号为1,一般来讲就是master的意思\x0d\x0a\x0d\x0askip-name-resolve\x0d\x0a# 禁止MySQL对外部连接进行DNS解析 , 使用这一选项可以消除MySQL进行DNS解析的时间 。但需要注意,如果开启该选项 , \x0d\x0a# 则所有远程主机连接授权都要使用IP地址方式,否则MySQL将无法正常处理连接请求\x0d\x0a\x0d\x0a#skip-networking\x0d\x0a\x0d\x0aback_log = 600\x0d\x0a# MySQL能有的连接数量 。当主要MySQL线程在一个很短时间内得到非常多的连接请求 , 这就起作用 , \x0d\x0a# 然后主线程花些时间(尽管很短)检查连接并且启动一个新线程 。back_log值指出在MySQL暂时停止回答新请求之前的短时间内多少个请求可以被存在堆栈中 。\x0d\x0a# 如果期望在一个短时间内有很多连接,你需要增加它 。也就是说,如果MySQL的连接数据达到max_connections时 , 新来的请求将会被存在堆栈中,\x0d\x0a# 以等待某一连接释放资源,该堆栈的数量即back_log,如果等待连接的数量超过back_log,将不被授予连接资源 。\x0d\x0a# 另外 , 这值(back_log)限于您的操作系统对到来的TCP/IP连接的侦听队列的大小 。\x0d\x0a# 你的操作系统在这个队列大小上有它自己的限制(可以检查你的OS文档找出这个变量的最大值) , 试图设定back_log高于你的操作系统的限制将是无效的 。\x0d\x0a\x0d\x0amax_connections = 1000\x0d\x0a# \x0d\x0aMySQL的最大连接数 , 如果服务器的并发连接请求量比较大,建议调高此值,以增加并行连接数量,当然这建立在机器能支撑的情况下 , 因为如果连接数越多,\x0d\x0a介于MySQL会为每个连接提供连接缓冲区 , 就会开销越多的内存,所以要适当调整该值,不能盲目提高设值 。可以过'conn%'通配符查看当前状态的连接\x0d\x0a数量 , 以定夺该值的大小 。\x0d\x0a\x0d\x0amax_connect_errors = 6000\x0d\x0a# 对于同一主机,如果有超出该参数值个数的中断错误连接,则该主机将被禁止连接 。如需对该主机进行解禁,执行:FLUSH HOST 。\x0d\x0a\x0d\x0aopen_files_limit = 65535\x0d\x0a# MySQL打开的文件描述符限制,默认最小1024;当open_files_limit没有被配置的时候,比较max_connections*5和ulimit -n的值,哪个大用哪个 , \x0d\x0a# 当open_file_limit被配置的时候,比较open_files_limit和max_connections*5的值,哪个大用哪个 。\x0d\x0a\x0d\x0atable_open_cache = 128\x0d\x0a# MySQL每打开一个表,都会读入一些数据到table_open_cache缓存中,当MySQL在这个缓存中找不到相应信息时,才会去磁盘上读取 。默认值64\x0d\x0a# 假定系统有200个并发连接,则需将此参数设置为200*N(N为每个连接所需的文件描述符数目)怎么设置mysql预编译;\x0d\x0a# 当把table_open_cache设置为很大时,如果系统处理不怎么设置mysql预编译了那么多文件描述符,那么就会出现客户端失效,连接不上\x0d\x0a\x0d\x0amax_allowed_packet = 4M\x0d\x0a# 接受的数据包大?。辉黾痈帽淞康闹凳职踩?nbsp;, 这是因为仅当需要时才会分配额外内存 。例如,仅当你发出长查询或MySQLd必须返回大的结果行时MySQLd才会分配更多内存 。\x0d\x0a# 该变量之所以取较小默认值是一种预防措施,以捕获客户端和服务器之间的错误信息包,并确保不会因偶然使用大的信息包而导致内存溢出 。\x0d\x0a\x0d\x0abinlog_cache_size = 1M\x0d\x0a# 一个事务 , 在没有提交的时候,产生的日志,记录到Cache中;等到事务提交需要提交的时候,则把日志持久化到磁盘 。默认binlog_cache_size大小32K\x0d\x0a\x0d\x0amax_heap_table_size = 8M\x0d\x0a# 定义了用户可以创建的内存表(memory table)的大小 。这个值用来计算内存表的最大行数值 。这个变量支持动态改变\x0d\x0a\x0d\x0atmp_table_size = 16M\x0d\x0a# MySQL的heap(堆积)表缓冲大小 。所有联合在一个DML指令内完成 , 并且大多数联合甚至可以不用临时表即可以完成 。\x0d\x0a# 大多数临时表是基于内存的(HEAP)表 。具有大的记录长度的临时表 (所有列的长度的和)或包含BLOB列的表存储在硬盘上 。\x0d\x0a#\x0d\x0a \x0d\x0a如果某个内部heap(堆积)表大小超过tmp_table_size,MySQL可以根据需要自动将内存中的heap表改为基于硬盘的MyISAM表 。\x0d\x0a还可以通过设置tmp_table_size选项来增加临时表的大小 。也就是说,如果调高该值,MySQL同时将增加heap表的大小,可达到提高联接查\x0d\x0a询速度的效果\x0d\x0a\x0d\x0aread_buffer_size = 2M\x0d\x0a# MySQL读入缓冲区大小 。对表进行顺序扫描的请求将分配一个读入缓冲区 , MySQL会为它分配一段内存缓冲区 。read_buffer_size变量控制这一缓冲区的大小 。\x0d\x0a# 如果对表的顺序扫描请求非常频繁,并且你认为频繁扫描进行得太慢,可以通过增加该变量值以及内存缓冲区大小提高其性能\x0d\x0a\x0d\x0aread_rnd_buffer_size = 8M\x0d\x0a# MySQL的随机读缓冲区大小 。当按任意顺序读取行时(例如,按照排序顺序) , 将分配一个随机读缓存区 。进行排序查询时,\x0d\x0a# MySQL会首先扫描一遍该缓冲,以避免磁盘搜索,提高查询速度,如果需要排序大量数据,可适当调高该值 。但MySQL会为每个客户连接发放该缓冲空间 , 所以应尽量适当设置该值,以避免内存开销过大\x0d\x0a\x0d\x0asort_buffer_size = 8M\x0d\x0a# MySQL执行排序使用的缓冲大小 。如果想要增加ORDER BY的速度,首先看是否可以让MySQL使用索引而不是额外的排序阶段 。\x0d\x0a# 如果不能,可以尝试增加sort_buffer_size变量的大小\x0d\x0a\x0d\x0ajoin_buffer_size = 8M\x0d\x0a# 联合查询操作所能使用的缓冲区大小,和sort_buffer_size一样,该参数对应的分配内存也是每连接独享\x0d\x0a\x0d\x0athread_cache_size = 8\x0d\x0a# 这个值(默认8)表示可以重新利用保存在缓存中线程的数量,当断开连接时如果缓存中还有空间,那么客户端的线程将被放到缓存中,\x0d\x0a# 如果线程重新被请求,那么请求将从缓存中读取,如果缓存中是空的或者是新的请求,那么这个线程将被重新创建,如果有很多新的线程,\x0d\x0a# 增加这个值可以改善系统性能.通过比较Connections和Threads_created状态的变量,可以看到这个变量的作用 。(_表示要调整的值)\x0d\x0a# 根据物理内存设置规则如下:\x0d\x0a# 1G— 8\x0d\x0a# 2G— 16\x0d\x0a# 3G— 32\x0d\x0a# 大于3G— 64\x0d\x0a\x0d\x0aquery_cache_size = 8M\x0d\x0a#MySQL的查询缓冲大?。ù?.0.1开始,MySQL提供了查询缓冲机制)使用查询缓冲,MySQL将SELECT语句和查询结果存放在缓冲区中,\x0d\x0a# 今后对于同样的SELECT语句(区分大小写) , 将直接从缓冲区中读取结果 。根据MySQL用户手册,使用查询缓冲最多可以达到238%的效率 。\x0d\x0a# 通过检查状态值'Qcache_%',可以知道query_cache_size设置是否合理:如果Qcache_lowmem_prunes的值非常大,则表明经常出现缓冲不够的情况,\x0d\x0a# 如果Qcache_hits的值也非常大,则表明查询缓冲使用非常频繁,此时需要增加缓冲大?。蝗绻鸔cache_hits的值不大,则表明你的查询重复率很低,\x0d\x0a# 这种情况下使用查询缓冲反而会影响效率,那么可以考虑不用查询缓冲 。此外,在SELECT语句中加入SQL_NO_CACHE可以明确表示不使用查询缓冲\x0d\x0a\x0d\x0aquery_cache_limit = 2M\x0d\x0a#指定单个查询能够使用的缓冲区大小,默认1M\x0d\x0a\x0d\x0akey_buffer_size = 4M\x0d\x0a#指定用于索引的缓冲区大?。?增加它可得到更好处理的索引(对所有读和多重写),到你能负担得起那样多 。如果你使它太大,\x0d\x0a# 系统将开始换页并且真的变慢了 。对于内存在4GB左右的服务器该参数可设置为384M或512M 。通过检查状态值Key_read_requests和Key_reads,\x0d\x0a# 可以知道key_buffer_size设置是否合理 。比例key_reads/key_read_requests应该尽可能的低 , \x0d\x0a# 至少是1:100,1:1000更好(上述状态值可以使用SHOW STATUS LIKE 'key_read%'获得) 。注意:该参数值设置的过大反而会是服务器整体效率降低\x0d\x0a\x0d\x0aft_min_word_len = 4\x0d\x0a# 分词词汇最小长度,默认4\x0d\x0a\x0d\x0atransaction_isolation = REPEATABLE-READ\x0d\x0a# MySQL支持4种事务隔离级别,他们分别是:\x0d\x0a# READ-UNCOMMITTED, READ-COMMITTED, REPEATABLE-READ, SERIALIZABLE.\x0d\x0a# 如没有指定 , MySQL默认采用的是REPEATABLE-READ,ORACLE默认的是READ-COMMITTED\x0d\x0a\x0d\x0alog_bin = mysql-bin\x0d\x0abinlog_format = mixed\x0d\x0aexpire_logs_days = 30 #超过30天的binlog删除\x0d\x0a\x0d\x0alog_error = /data/mysql/mysql-error.log #错误日志路径\x0d\x0aslow_query_log = 1\x0d\x0along_query_time = 1 #慢查询时间 超过1秒则为慢查询\x0d\x0aslow_query_log_file = /data/mysql/mysql-slow.log\x0d\x0a\x0d\x0aperformance_schema = 0\x0d\x0aexplicit_defaults_for_timestamp\x0d\x0a\x0d\x0a#lower_case_table_names = 1 #不区分大小写\x0d\x0a\x0d\x0askip-external-locking #MySQL选项以避免外部锁定 。该选项默认开启\x0d\x0a\x0d\x0adefault-storage-engine = InnoDB #默认存储引擎\x0d\x0a\x0d\x0ainnodb_file_per_table = 1\x0d\x0a# InnoDB为独立表空间模式,每个数据库的每个表都会生成一个数据空间\x0d\x0a# 独立表空间优点:\x0d\x0a# 1.每个表都有自已独立的表空间 。\x0d\x0a# 2.每个表的数据和索引都会存在自已的表空间中 。\x0d\x0a# 3.可以实现单表在不同的数据库中移动 。\x0d\x0a# 4.空间可以回收(除drop table操作处 , 表空不能自已回收)\x0d\x0a# 缺点:\x0d\x0a# 单表增加过大,如超过100G\x0d\x0a# 结论:\x0d\x0a# 共享表空间在Insert操作上少有优势 。其它都没独立表空间表现好 。当启用独立表空间时,请合理调整:innodb_open_files\x0d\x0a\x0d\x0ainnodb_open_files = 500\x0d\x0a# 限制Innodb能打开的表的数据,如果库里的表特别多的情况 , 请增加这个 。这个值默认是300\x0d\x0a\x0d\x0ainnodb_buffer_pool_size = 64M\x0d\x0a# InnoDB使用一个缓冲池来保存索引和原始数据, 不像MyISAM.\x0d\x0a# 这里你设置越大,你在存取表里面数据时所需要的磁盘I/O越少.\x0d\x0a# 在一个独立使用的数据库服务器上,你可以设置这个变量到服务器物理内存大小的80%\x0d\x0a# 不要设置过大,否则,由于物理内存的竞争可能导致操作系统的换页颠簸.\x0d\x0a# 注意在32位系统上你每个进程可能被限制在 2-3.5G 用户层面内存限制,\x0d\x0a# 所以不要设置的太高.\x0d\x0a\x0d\x0ainnodb_write_io_threads = 4\x0d\x0ainnodb_read_io_threads = 4\x0d\x0a# innodb使用后台线程处理数据页上的读写 I/O(输入输出)请求,根据你的 CPU 核数来更改,默认是4\x0d\x0a# 注:这两个参数不支持动态改变,需要把该参数加入到my.cnf里,修改完后重启MySQL服务,允许值的范围从 1-64\x0d\x0a\x0d\x0ainnodb_thread_concurrency = 0\x0d\x0a# 默认设置为 0,表示不限制并发数,这里推荐设置为0,更好去发挥CPU多核处理能力,提高并发量\x0d\x0a\x0d\x0ainnodb_purge_threads = 1\x0d\x0a# InnoDB中的清除操作是一类定期回收无用数据的操作 。在之前的几个版本中,清除操作是主线程的一部分,这意味着运行时它可能会堵塞其它的数据库操作 。\x0d\x0a# 从MySQL5.5.X版本开始,该操作运行于独立的线程中,并支持更多的并发数 。用户可通过设置innodb_purge_threads配置参数来选择清除操作是否使用单\x0d\x0a# 独线程,默认情况下参数设置为0(不使用单独线程),设置为 1 时表示使用单独的清除线程 。建议为1\x0d\x0a\x0d\x0ainnodb_flush_log_at_trx_commit = 2\x0d\x0a# 0:如果innodb_flush_log_at_trx_commit的值为0,log buffer每秒就会被刷写日志文件到磁盘,提交事务的时候不做任何操作(执行是由mysql的master thread线程来执行的 。\x0d\x0a# 主线程中每秒会将重做日志缓冲写入磁盘的重做日志文件(REDO LOG)中 。不论事务是否已经提交)默认的日志文件是ib_logfile0,ib_logfile1\x0d\x0a# 1:当设为默认值1的时候,每次提交事务的时候,都会将log buffer刷写到日志 。\x0d\x0a# 2:如果设为2,每次提交事务都会写日志,但并不会执行刷的操作 。每秒定时会刷到日志文件 。要注意的是,并不能保证100%每秒一定都会刷到磁盘,这要取决于进程的调度 。\x0d\x0a# 每次事务提交的时候将数据写入事务日志,而这里的写入仅是调用了文件系统的写入操作,而文件系统是有 缓存的 , 所以这个写入并不能保证数据已经写入到物理磁盘\x0d\x0a# 默认值1是为了保证完整的ACID 。当然,你可以将这个配置项设为1以外的值来换取更高的性能 , 但是在系统崩溃的时候,你将会丢失1秒的数据 。\x0d\x0a# 设为0的话 , mysqld进程崩溃的时候,就会丢失最后1秒的事务 。设为2,只有在操作系统崩溃或者断电的时候才会丢失最后1秒的数据 。InnoDB在做恢复的时候会忽略这个值 。\x0d\x0a# 总结\x0d\x0a# 设为1当然是最安全的 , 但性能页是最差的(相对其他两个参数而言,但不是不能接受) 。如果对数据一致性和完整性要求不高,完全可以设为2,如果只最求性能 , 例如高并发写的日志服务器 , 设为0来获得更高性能\x0d\x0a\x0d\x0ainnodb_log_buffer_size = 2M\x0d\x0a# 此参数确定些日志文件所用的内存大小,以M为单位 。缓冲区更大能提高性能,但意外的故障将会丢失数据 。MySQL开发人员建议设置为1-8M之间\x0d\x0a\x0d\x0ainnodb_log_file_size = 32M\x0d\x0a# 此参数确定数据日志文件的大?。?更大的设置可以提高性能,但也会增加恢复故障数据库所需的时间\x0d\x0a\x0d\x0ainnodb_log_files_in_group = 3\x0d\x0a# 为提高性能,MySQL可以以循环方式将日志文件写到多个文件 。推荐设置为3\x0d\x0a\x0d\x0ainnodb_max_dirty_pages_pct = 90\x0d\x0a# innodb主线程刷新缓存池中的数据,使脏数据比例小于90%\x0d\x0a\x0d\x0ainnodb_lock_wait_timeout = 120 \x0d\x0a# InnoDB事务在被回滚之前可以等待一个锁定的超时秒数 。InnoDB在它自己的锁定表中自动检测事务死锁并且回滚事务 。InnoDB用LOCK TABLES语句注意到锁定设置 。默认值是50秒\x0d\x0a\x0d\x0abulk_insert_buffer_size = 8M\x0d\x0a# 批量插入缓存大小,这个参数是针对MyISAM存储引擎来说的 。适用于在一次性插入100-1000+条记录时 ,  提高效率 。默认值是8M 。可以针对数据量的大?。?翻倍增加 。\x0d\x0a\x0d\x0amyisam_sort_buffer_size = 8M\x0d\x0a# MyISAM设置恢复表之时使用的缓冲区的尺寸,当在REPAIR TABLE或用CREATE INDEX创建索引或ALTER TABLE过程中排序 MyISAM索引分配的缓冲区\x0d\x0a\x0d\x0amyisam_max_sort_file_size = 10G\x0d\x0a# 如果临时文件会变得超过索引,不要使用快速排序索引方法来创建一个索引 。注释:这个参数以字节的形式给出\x0d\x0a\x0d\x0amyisam_repair_threads = 1\x0d\x0a# 如果该值大于1,在Repair by sorting过程中并行创建MyISAM表索引(每个索引在自己的线程内) \x0d\x0a\x0d\x0ainteractive_timeout = 28800\x0d\x0a# 服务器关闭交互式连接前等待活动的秒数 。交互式客户端定义为在mysql_real_connect()中使用CLIENT_INTERACTIVE选项的客户端 。默认值:28800秒(8小时)\x0d\x0a\x0d\x0await_timeout = 28800\x0d\x0a# 服务器关闭非交互连接之前等待活动的秒数 。在线程启动时 , 根据全局wait_timeout值或全局interactive_timeout值初始化会话wait_timeout值,\x0d\x0a# 取决于客户端类型(由mysql_real_connect()的连接选项CLIENT_INTERACTIVE定义) 。参数默认值:28800秒(8小时)\x0d\x0a# MySQL服务器所支持的最大连接数是有上限的,因为每个连接的建立都会消耗内存,因此怎么设置mysql预编译我们希望客户端在连接到MySQL Server处理完相应的操作后,\x0d\x0a# 应该断开连接并释放占用的内存 。如果你的MySQL Server有大量的闲置连接,他们不仅会白白消耗内存,而且如果连接一直在累加而不断开,\x0d\x0a# 最终肯定会达到MySQL Server的连接上限数,这会报'too many connections'的错误 。对于wait_timeout的值设定,应该根据系统的运行情况来判断 。\x0d\x0a# 在系统运行一段时间后,可以通过show processlist命令查看当前系统的连接状态,如果发现有大量的sleep状态的连接进程,则说明该参数设置的过大 , \x0d\x0a# 可以进行适当的调整小些 。要同时设置interactive_timeout和wait_timeout才会生效 。\x0d\x0a\x0d\x0a[mysqldump]\x0d\x0aquick\x0d\x0amax_allowed_packet = 16M #服务器发送和接受的最大包长度\x0d\x0a[myisamchk]\x0d\x0akey_buffer_size = 8M\x0d\x0asort_buffer_size = 8M\x0d\x0aread_buffer = 4M\x0d\x0awrite_buffer = 4M

推荐阅读