2017.12.29，工作日的最后一天，下次上班就是2018年了，可以把今天当做2017年工作日的最后一天，同时我们的 MySQL 今天学习也是最后一堂了，三个内容：MYSQL及 sql注入 、MYSQL导出数据、MYSQL导入数据。更新MYSQL已经大致更新了2周~3周了，阅读的头条用户虽然没有多少，但是依然欣慰有一小部分人关注我和收藏我的文章，非常感谢您们，2018年工作日开始，我会继续更新其他技术知识，让我们一起去自学这些内容，希望大家一路既往的给予我支持，同时也希望有更多的人能够看到我更新的文字，期望我能早日转正，通过头条的新手期，这样我就能提高每日发文量了，现在被限制到每天1篇的发文，着实令我不够用啊，希望看到的朋友多多关注我，收藏我，转发我的文章，让更喜欢学习的人看到我的文章，感谢头条的每一位人，期待你们每一位在2017都是有收获的，即使一无所获的人们，你们一样也会有收获的，比如：收获个毛，收获个鸟，收获个蛋啊， 这些都是收获。呵呵，开个玩笑。 无论2017年你们有过什么样的经历，好的，坏的，痛苦的，快乐的。都已经过去了，让我们在2018年，继续努力，成功者更上一层楼，失败者，纠正错误，达到成功。

接下来我们继续学习MYSQL的内容：

MySQL 及 SQL 注入

如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库，那么就有可能发生SQL注入安全的问题。

我们简单说明如何防止SQL注入，并通过脚本来过滤SQL中注入的字符。

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询 字符串 ，最终达到欺骗服务器执行恶意的SQL命令。

我们永远不要信任用户的输入，我们必须认定用户输入的数据都是不安全的，我们都需要对用户输入的数据进行过滤处理。

以下实例中，输入的用户名必须为字母、数字及下划线的组合，且用户名长度为 8 到 20 个字符之间：

if (preg_match(“/^\w{8,20}$/”, $_GET[‘username’], $matches))

{

$result = mysql i_query($conn, “SELECT * FROM users

WHERE username=$matches[0]”);

}

else

{

echo “username 输入异常”;

}

让我们看下在没有过滤特殊字符时，出现的SQL情况

// 设定$name 中插入了我们不需要的SQL语句

$name = “Qadir’; DELETE FROM users;”;

mysqli_query($conn, “SELECT * FROM users WHERE name='{$name}'”);

以上的注入语句中，我们没有对 $name 的变量进行过滤，$name 中插入了我们不需要的SQL语句，将删除 users 表中的所有数据。

在PHP中的 mysqli_query() 是不允许执行多个 SQL 语句的，但是在 SQLite 和 PostgreSQL 是可以同时执行多条SQL语句的，所以我们对这些用户的数据需要进行严格的验证。

防止SQL注入，我们需要注意以下几个要点：

• 1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双”-“进行转换等。

• 2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

• 3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

• 4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

• 5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

• 6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

防止SQL注入

在脚本语言，如Perl和PHP你可以对用户输入的数据进行转义从而来防止SQL注入。

PHP的MySQL扩展提供了mysqli_real_escape_string()函数来转义特殊的输入字符。

if (get_magic_quotes_gpc())

{

$name = stripslashes($name);

}

$name = mysqli_real_escape_string($conn, $name);

mysqli_query($conn, “SELECT * FROM users WHERE name='{$name}'”);

Like语句中的注入

like查询时，如果用户输入的值有”_”和”%”，则会出现这种情况：用户本来只是想查询”abcd_”，查询结果中却有”abcd_”、”abcde”、”abcdf”等等；用户要查询”30%”（注：百分之三十）时也会出现问题。

在PHP脚本中我们可以使用addcslashes()函数来处理以上情况，如下实例：

$sub = addcslashes(mysqli_real_escape_string($conn, “%something_”), “%_”);

// $sub == \%something\_

mysqli_query($conn, “SELECT * FROM messages WHERE subject LIKE ‘{$sub}%'”);

addcslashes()

函数在指定的字符前添加反斜杠。

语法格式:

addcslashes(string,characters) 

MySQL 导出数据

MySQL中你可以使用 SELECT…INTO OUTFILE 语句来简单的导出数据到文本文件上。

使用 SELECT … INTO OUTFILE 语句导出数据

以下实例中我们将数据表 jrtt_table 数据导出到D:\jrtt_table.txt文件中:

select * from jrtt_table

into outfile ‘D:\jrtt_table.txt’;

执行完上面的命令，就可以在d盘中找到我们导出的数据了

如下生成一个文件，各值用逗号隔开。这种格式可以被许多程序使用。

SELECT * FROM jrtt_table INTO OUTFILE ‘/tmp/tutorials.txt’

character set gbk

FIELDS TERMINATED BY ‘,’ ENCLOSED BY ‘”‘

LINES TERMINATED BY ‘\r\n’;

SELECT … INTO OUTFILE 语句有以下属性:

• LOAD DATA INFILE是SELECT … INTO OUTFILE的逆操作，SELECT句法。为了将一个数据库的数据写入一个文件，使用SELECT … INTO OUTFILE，为了将文件读回数据库，使用LOAD DATA INFILE。

• SELECT…INTO OUTFILE ‘file_name’形式的SELECT可以把被选择的行写入一个文件中。该文件被创建到服务器主机上，因此您必须拥有FILE权限，才能使用此语法。

• 输出不能是一个已存在的文件。防止文件数据被篡改。

• 你需要有一个登陆服务器的账号来检索文件。否则 SELECT … INTO OUTFILE 不会起任何作用。

• 在 UNIX 中，该文件被创建后是可读的，权限由MySQL服务器所拥有。这意味着，虽然你就可以读取该文件，但可能无法将其删除。

导出表作为原始数据

mysqldump 是mysql用于转存储数据库的实用程序。它主要产生一个SQL脚本，其中包含从头重新创建数据库所必需的命令CREATE TABLE INSERT等。

使用mysqldump导出数据需要使用 –tab 选项来指定导出文件指定的目录，该目标必须是可写的。

以下实例将数据表 runoob_tbl 导出到 /tmp 目录中：

mysqldump -uroot -p123456 –no-create-info –tab=d:\ jrttdb jrtt_table

导出SQL格式的数据

导出SQL格式的数据到指定文件，如下所示：

mysql dump -uroot -p123456 jrttdb jrtt_table > d:\jrtt_table_data.txt

打开生成的内容如下：

如果你需要导出整个数据库的数据，可以使用以下命令：

$ mysqldump -u root -p RUNOOB > database_dump.txt

password ******

如果需要备份所有数据库，可以使用以下命令：

$ mysqldump -u root -p –all-databases > database_dump.txt

password ******

–all-databases 选项在 MySQL 3.23.12 及以后版本加入。

该方法可用于实现数据库的备份策略。

将数据表及数据库拷贝至其他主机

如果你需要将数据拷贝至其他的 MySQL 服务器上, 你可以在 mysqldump 命令中指定数据库名及数据表。

在源主机上执行以下命令，将数据备份至 dump.txt 文件中:

$ mysqldump -u root -p database_name table_name > dump.txt
password ***** 

如果完整备份数据库，则无需使用特定的表名称。

如果你需要将备份的数据库导入到MySQL服务器中，可以使用以下命令，使用以下命令你需要确认数据库已经创建：

$ mysql -u root -p database_name < dump.txt

password *****

你也可以使用以下命令将导出的数据直接导入到远程的服务器上，但请确保两台服务器是相通的，是可以相互访问的：</p>

$ mysqldump -u root -p database_name \

| mysql -h other-host.com database_name

以上命令中使用了管道来将导出的数据导入到指定的远程主机上。

MySQL 导入数据

MySQL中可以使用两种简单的方式来导入MySQL导出的数据。

使用 LOAD DATA 导入数据

MySQL 中提供了LOAD DATA INFILE语句来插入数据。 以下实例中将从当前目录中读取文件 dump.txt ，将该文件中的数据插入到当前数据库的 mytbl 表中。

mysql> LOAD DATA LOCAL INFILE 'dump.txt' INTO TABLE mytbl; 

如果指定LOCAL关键词，则表明从客户主机上按路径读取文件。如果没有指定，则文件在服务器上按路径读取文件。

你能明确地在LOAD DATA语句中指出列值的分隔符和行尾标记，但是默认标记是定位符和换行符。

两个命令的 FIELDS 和 LINES 子句的语法是一样的。两个子句都是可选的，但是如果两个同时被指定，FIELDS 子句必须出现在 LINES 子句之前。

如果用户指定一个 FIELDS 子句，它的子句 （TERMINATED BY、[OPTIONALLY] ENCLOSED BY 和 ESCAPED BY) 也是可选的，不过，用户必须至少指定它们中的一个。

mysql> LOAD DATA LOCAL INFILE ‘dump.txt’ INTO TABLE mytbl

-> FIELDS TERMINATED BY ‘:’

-> LINES TERMINATED BY ‘\r\n’;

LOAD DATA 默认情况下是按照数据文件中列的顺序插入数据的，如果数据文件中的列与插入表中的列不一致，则需要指定列的顺序。

如，在数据文件中的列顺序是 a,b,c，但在插入表的列顺序为b,c,a，则数据导入语法如下：

mysql> LOAD DATA LOCAL INFILE ‘dump.txt’

-> INTO TABLE mytbl (b, c, a);

使用 mysqlimport 导入数据

mysqlimport客户端提供了LOAD DATA INFILEQL语句的一个命令行接口。mysqlimport的大多数选项直接对应LOAD DATA INFILE子句。

从文件 dump.txt 中将数据导入到 mytbl 数据表中, 可以使用以下命令：

$ mysqlimport -u root -p –local database_name dump.txt

password *****

mysqlimport命令可以指定选项来设置指定格式,命令语句格式如下：

$ mysqlimport -u root -p –local –fields-terminated-by=”:” \

–lines-terminated-by=”\r\n” database_name dump.txt

password *****

mysqlimport 语句中使用 –columns 选项来设置列的顺序：

$ mysqlimport -u root -p –local –columns=b,c,a \

database_name dump.txt

password *****

mysqlimport的常用选项介绍

mysqlimport命令常用的选项还有-v 显示版本（version）， -p 提示输入密码（password）等。

2017.12.29

头条新手：不懂世事的庸人

2018年继续更新其他技术学习的内容，喜欢就关注我吧。