2008 年 11月随笔档案 - 一江水

oracle性能调优:管理oracle日志之调整检查点

摘要：调整检查点 • 检查点事件代表在那个时刻数据库处于一致的状态，检查点之所以重要，是因为在实例失败后，只有发生在最后一个检查点之后事务需要恢复；有两种类型的检查点：增量检查点和完全检查点； • 增量检查点是从ORACLE 8开始引入的，之前的版本只存在完全检查点，这个时候，所有的脏数据都要写回磁盘，巨大的I/O对系统性带来很大影响，而且在写出所有脏块的过程中会锁定数据缓存，写出完成之前再不能够产生... 阅读全文

posted @ 2008-11-27 14:57 一江水阅读(1503) 评论(0) 推荐(0) 编辑

Oracle：MOVE与SHRINK命令相比较

摘要：MITe命令压缩Oracle块中的记录、解决行链接问题，并重置表的高水平线。 move和shrink命令都会重置表的高水平线，那么哪个命令更有效呢?这篇文章讨论使用move和shrink命令重新组织一个表，然后比较Oracle块的记录被压缩得怎么样以及行链接解决得怎么样。注意：关于表高水平线和重置表高水平线的不同方法的详细讨论不在这篇文章的讨论范围内。下面的步骤简要描述了使用mo... 阅读全文

posted @ 2008-11-26 11:39 一江水阅读(2155) 评论(0) 推荐(0) 编辑

Web大威胁？

摘要：前几天Jeremiah与RSnake在他们的博客上分别提到了他们发现的一种危害极大的web攻击方式：Clickjacking（这里，这里）。正由于这个原因，他们取消了在即将到来的OWASP 2008会议上的演讲。刚刚回来看到了阿玛外传里的相关文章：《Web 大威脅：Jeremiah 與 RSnake 於 OWASP 美國年會禁講！》。按他们的说法要解决这个威胁，只有这两种选择： 1、全世界的网站... 阅读全文

posted @ 2008-11-24 16:50 一江水阅读(474) 评论(1) 推荐(0) 编辑

移动数据文件，平衡磁盘负载

摘要：通过v$filestat和v$dbfile视图的联合查询，找出热点文件。主要是indx和USERS表空间所属的这两个文件。今天在做性能测试的时候，发现查询TT_AUDITPURGE业务表的时候datavg的I/O占用比率很高,但由于是新release的build,且department内部release的installation guide还没有提级数据I/O优化这快儿，那么在inst... 阅读全文

posted @ 2008-11-22 23:10 一江水阅读(398) 评论(0) 推荐(0) 编辑

数据库性能分析及调整一例

摘要：故障现象 2004年6月8日上午10:00,内蒙古巴盟网通用户反映在OSS系统界面“话单查询”里查询单个用户五天的话单特别慢，查询很长时间无结果。例如：在OSS系统界面“综合查询”内点击“收费”-〉“话单查询”，键入“用户号码，起始时间：2004-01-01 00：00：00，结束时间：2004-06-01 23：00：00”，点击查询后，IE进度条缓慢，很长时间不返回结果。故障分析经过分... 阅读全文

posted @ 2008-11-22 11:17 一江水阅读(1680) 评论(0) 推荐(0) 编辑

Oracle数据库的Hang

摘要：一、数据库Hang时可能的现象 1、最直观的是你的大部分的业务操作，比如说一个查询都使用好长的时间，或根本就返回不出结果。这和简单那种锁表是有区别的。 2、在操作系统上用Hp-unix用glance、Aix用nmon及用sar做监测会出现系统空闲的假象，表面看起来系统很闲，实际上系统已经Hang了。 3、查v$session_wait会出现大量的”latch free”、”enqueue”、... 阅读全文

posted @ 2008-11-22 11:11 一江水阅读(2862) 评论(0) 推荐(0) 编辑

百度多处XSS跨站漏洞续篇

摘要：连续发了这么多天漏洞，到后来有点倦怠了，跨站跨到手软，码字码到吐血。然而我觉得这一切是有意义的，对我自己来说是个总结归纳的过程，对大家来说是个饭后不错的谈资，对百度来说有人免费帮他们做QA测试，所以我看这种活动以后还是要经常开展，比如the Month of Baidu Bugs之类，不过码字好累，最好有人与我勾结勾结，一起狼狈为奸一下。这次发布了许多漏洞，跨站方面找了15个比较典型的问题，如... 阅读全文

posted @ 2008-11-22 00:23 一江水阅读(919) 评论(0) 推荐(0) 编辑

百度跨站漏洞谢幕篇

摘要：先把漏洞讲完，再开始扯淡。今天的第一个漏洞还是出在spRefURL上 XSS 13: 百度空间创建文章错误返回XSS漏洞在写博客的地方，如果提交时篡改spRefURL为恶意脚本，此时若提交失败，则返回页面中会包含我们的恶意脚本。在创建文章时提交参数如下：以下是引用片段： ct=1&cm=2&spBlogID=1f9a3aaca... 阅读全文

posted @ 2008-11-22 00:22 一江水阅读(887) 评论(0) 推荐(0) 编辑

XSS测试语法大全

摘要：以下是引用片段： =’> %3Cscript%3Ealert(’XSS’)%3C/script%3E %0a%0a.jsp %22%3cscript%3ealert(%22xss%22)%3c/script%3e %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd ... 阅读全文

posted @ 2008-11-22 00:21 一江水阅读(1057) 评论(0) 推荐(0) 编辑

MYSQL 注入精华

摘要：前言鄙人今天心血来潮突然想写篇文章,鄙人从来没写过文章,如果有错误的地方请多多指教.本文需要有基础的SQL语句知识才可以更好的理解.建议想学习的人多去了解一下SQL语句和编程语言,知己知彼才能百战百胜. 我不希翼得到读者您的好评,尽管我尽力了;只希望本文能解决您学习过程的障碍,希望您早日掌握有关MYSQL注入方面的知识. 1.MYSQL 注射的产生. 漏洞产生原因 : 程序执行中未对敏感字符进... 阅读全文

posted @ 2008-11-21 23:58 一江水阅读(10191) 评论(0) 推荐(0) 编辑

译言CSRF蠕虫分析[zt]

摘要：放出的代码都在这里，代码是我花了一天的时间构思写出来的，具有攻击性的代码已经去掉。目前译言上的CSRF蠕虫已经被抹掉。这样的攻击代码可以做得非常的隐蔽，顺便加上了referer判断。而蠕虫代码就是靠得到的这个referer值进行后续操作的:)。由于在AJAX无法跨域获取操作第三方服务器上的资源，于是使用了服务端代理来完全跨域获取数据的操作（Microsoft.XMLHTTP控件的使用）。看下面这... 阅读全文

posted @ 2008-11-21 23:52 一江水阅读(431) 评论(0) 推荐(0) 编辑

利用httponly提升应用程序安全性[zt]

摘要：==Ph4nt0m Security Team== Issue 0x01, Phile #0x06 of 0x06 |=---------------------------------------------------------------------------=| |=-------------=[ 利用httponly提升应用程序安全性 ]=--------------=| |=---... 阅读全文

posted @ 2008-11-21 23:49 一江水阅读(339) 评论(0) 推荐(1) 编辑

动易安全开发手册[zt]

摘要：目录一、输入验证 3 1. 什么是输入 3 2. 输入验证的必要性 3 3. 输入验证技术 3 3.1 主要防御方式 3 3.2 辅助防御方式 5 二、输出编码 8 1. 输出的种类 8 2. 输出编码的必要性 8 3. 输出编码 8 4. 常用测试输出方法... 阅读全文

posted @ 2008-11-21 23:48 一江水阅读(689) 评论(0) 推荐(1) 编辑

攻击方式学习之(4) - 拒绝服务(DOS/DDOS/DRDOS) [zt]

摘要：历史回顾 1. 2000年2月的“电子珍珠港事件”，正是互联网史上这样噩梦的集中时刻。2月7日、8日、9日连续三天，黑客对美国包括雅虎、亚马逊、国家贴现经纪公司网站、洛杉矶时报网站等各大网站发起集中攻击，直接造成了10多亿美元的损失。号称世界上最安全的网站——雅虎——是其中最不幸的一位。由于2月正是一年中网上购物最活跃的时候，雅虎的主要收入来自网上广告，在关闭的三小时内本该有1亿个页面被访问，黑... 阅读全文

posted @ 2008-11-21 23:30 一江水阅读(487) 评论(0) 推荐(1) 编辑

攻击方式学习之(3) - 缓冲区溢出(Buffer Overflow) [zt]

摘要：堆栈溢出堆栈溢出通常是所有的缓冲区溢出中最容易进行利用的。了解堆栈溢出之前，先了解以下几个概念：缓冲区简单说来是一块连续的计算机内存区域，可以保存相同数据类型的多个实例。堆栈堆栈是一个在计算机科学中经常使用的抽象数据类型。堆栈中的物体具有一个特性：最后一个放入堆栈中的物体总是被最先拿出来，这个... 阅读全文

posted @ 2008-11-21 23:26 一江水阅读(761) 评论(0) 推荐(0) 编辑

攻击方式学习之(2) - SQL注入(SQL Injection) [zt]

摘要：简介有些网站将直接拿用户的输入来拼接SQL语句，进行查询等操作，同时也将错误信息暴露给用户。这就给不怀好意的同学可乘之机，利用输入一些奇特的查询字符串，拼接成特定的SQL语句，即可达到注入的目的。不仅可以获取数据库重要信息，权限没有设置好的话甚至可以删除掉整个表。因此，SQL注入漏洞还是相当的严重的。发现以前偶刚学写的网站的时候也是靠拼接SQL语句吃饭滴…… 示例为了更好了学习和了解S... 阅读全文

posted @ 2008-11-21 23:24 一江水阅读(444) 评论(0) 推荐(0) 编辑

攻击方式学习之(1) - 跨站式脚本(Cross-Site Scripting) [zt]

摘要：声明：本文仅供学习研究之用，对于本文提到的某些网站的XSS漏洞，请读者发扬高尚的人道主义精神不要去危害他人，同时希望相应的网站能够尽快修补XSS漏洞。简介 XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。使用过ASP的同学... 阅读全文

posted @ 2008-11-21 22:49 一江水阅读(682) 评论(0) 推荐(0) 编辑

网页解密

摘要：为什么会有网页脚本加密？网页脚本加密的背后到底有什么见不得人的事情呢？其实，网页脚本加密一般是用于网页木马的免杀，一般来说入侵者成功取得Webshell权限以后就会对整个网站进行批量挂马，其中挂马的语句大多是“iframe”，也有些为了隐蔽会插入Flash（geturl）或者js里面等等。常见的主要以“下载者”和QQ盗号木马居多，大多利用的都是IE的漏洞，如MS06014和MS07004，可见打... 阅读全文

posted @ 2008-11-21 18:06 一江水阅读(2993) 评论(1) 推荐(0) 编辑

跨站脚本攻击与防御

摘要：网络上曾经有过关于跨站脚本攻击与防御的文章，但是随着攻击技术的进步，以前的关于跨站脚本攻击的看法与理论已经不能满足现在的攻击与防御的需要了，而且由于这种对于跨站脚本认识上的混乱，导致现在很多的程序包括现在的动网都存在着跨站脚本过滤不严的问题，希望本文能给写程序的与研究程序的带来一点思路。还是首先看看跨站脚本漏洞的成因，所谓跨站脚本漏洞其实就是Html的注入问题，恶意用户的输入没有经过严格... 阅读全文

posted @ 2008-11-21 15:23 一江水阅读(613) 评论(0) 推荐(0) 编辑

Oracle调优笔记

摘要：1.内存调优注：SGA中的shared pool中，系统自动优先缓存datadictionary cache，对系统性能影响较大的是library cache。 1.1 library cache 调优（v$librarycache/v$sql/v$sqlarea/v$sqltext/v$db_object_cache）判断：要不要调整library cache？判断条件：v$libraryc... 阅读全文

posted @ 2008-11-17 23:43 一江水阅读(4379) 评论(0) 推荐(0) 编辑

使用Bulk Collect提高Oracle查询效率

摘要：Oracle8i中首次引入了Bulk Collect特性，该特性可以让我们在PL/SQL中能使用批查询，批查询在某些情况下能显著提高查询效率。现在，我们对该特性进行一些简单的测试和分析。 1．首先，我们创建一个表，并插入100000条记录在SQL/Plus中执行下列脚本： drop table empl_tbl / create table empl_tbl(last_name varch... 阅读全文

posted @ 2008-11-17 23:40 一江水阅读(8287) 评论(1) 推荐(3) 编辑

ORACLE中SQL TRACE和TKPROF的使用

摘要：SQL TRACE 和 tkprof sql语句分析工具一 SQL TRACE 使用方法： 1.初始化sql trace 参数： timed_statistics=true 允许sql trace 和其他的一些动态性能视图收集与时间有关的参数、 SQL>alter session set titimed_statistics=true ma... 阅读全文

posted @ 2008-11-17 23:36 一江水阅读(1804) 评论(0) 推荐(0) 编辑

Oracle数据库的性能调整

摘要：oracle是一个高性能数据库软件。用户可以通过参数的调整，达到性能的优化。性能优化主要分为两部分：一是数据库管理员通过对系统参数的调整达到优化的目的，二是开发人员通过对应用程序的优化达到调整的目的。在此，仅就系统参数的调整进行探讨，而不涉及应用程序的优化。对系统参数的调整，可以分为以下几个部分： (1)调整内存分配系统全局区（SGA）是一个分配给ORACLE 包含ORACLE 数... 阅读全文

posted @ 2008-11-17 16:54 一江水阅读(4738) 评论(0) 推荐(1) 编辑

Oracle SQL性能优化

摘要：（1）选择最有效率的表名顺序(只在基于规则的优化器中有效)： ORACLE的解析器按照从右到左的顺序处理FROM子句中的表名，FROM子句中写在最后的表(基础表 driving table)将被最先处理，在FROM子句中包含多个表的情况下,你必须选择记录条数最少的表作为基础表。如果有3个以上的表连接查询, 那就需要选择交叉表(intersection table)作为基础表, 交叉表是... 阅读全文

posted @ 2008-11-17 00:07 一江水阅读(141530) 评论(21) 推荐(51) 编辑

数据库从文件系统转移至ASM实验记录

摘要：实验环境：WinXP SP2 数据库版本：10.2.0.1 准备迁移的数据库实例名：TEST ASM实例名：+ASM ASM磁盘组：+TEST 创建ASM实例和磁盘组的步骤这里不再重复，请参考：http://space.itpub.net/498744/viewspace-247789 Microsoft Windows XP [版本 5.1.2600] (C) 版权所有 1985-2001 M... 阅读全文

posted @ 2008-11-16 23:29 一江水阅读(2425) 评论(0) 推荐(0) 编辑

Oracle的大表,小表与全表扫描

摘要：通常对于小表，Oracle建议通过全表扫描进行数据访问，对于大表则应该通过索引以加快数据查询，当然如果查询要求返回表中大部分或者全部数据，那么全表扫描可能仍然是最好的选择。从V$SYSSTAT视图中，我们可以查询得到关于全表扫描的系统统计信息： SQL> col name for a30 SQL> select name,value from v$sysstat 2 where name ... 阅读全文

posted @ 2008-11-16 20:12 一江水阅读(2849) 评论(0) 推荐(0) 编辑

Oracle db file sequential read

摘要：产生原因：该等待事件通常意味着一次I/O读取请求的结束。该等待事件与db file scattered read的区别请参考www.itpub.net的帖子以及biti_rainy的blog。一次sequential读取通常是单个块的读取，但偶尔的在读取多块的时候也会看到sequential读取。诊断方法：在会话级，查询视图V$SESSION_WAIT时如果有该事件存在，那么该视图中的... 阅读全文

posted @ 2008-11-16 19:54 一江水阅读(4469) 评论(0) 推荐(0) 编辑

Oracle Tuning (Oracle 性能调整)的一些总结

摘要：Oracle Tuning (Oracle 性能调整)的一些总结关于Oracle的性能调整，一般包括两个方面，一是指Oracle数据库本身的调整，比如SGA、PGA的优化设置，二是连接Oracle的应用程序以及SQL语句的优化。做好这两个方面的优化，就可以使一套完整的Oracle应用系统处于良好的运行状态。本文主要是把一些Oracle Tuning的文章作了一个简单的总结，力求以实际可操作为目的... 阅读全文

posted @ 2008-11-16 19:12 一江水阅读(4715) 评论(0) 推荐(0) 编辑

警惕Oracle数据库操作高压线

摘要：摘要：Oracle数据库在BOSS、客服、彩铃、短消息等产品都有广泛的应用。本文深入分析几则由于人为操作不当造成的数据库事故，并根据案例总结归纳出操作高压线和维护规则，用以指导工程师正确维护Oracle数据库，减少人为事故的发生。背景:在日常的数据库技术支持工作中，会发现相当部分的数据库事故和人为操作不当有直接的关系。每次的新员工培训，也会用真实案例来说明和强调正确操作习惯的重要性。在强... 阅读全文

posted @ 2008-11-16 19:04 一江水阅读(1898) 评论(0) 推荐(0) 编辑

Oracle数据库event事件与dump文件介绍

摘要：一、Oracle跟踪文件 Oracle跟踪文件分为三种类型，一种是后台报警日志文件，记录数据库在启动、关闭和运行期间后台进程的活动情况,如表空间创建、回滚段创建、某些alter命令、日志切换、错误消息等。在数据库出现故障时，应首先查看该文件，但文件中的信息与任何错误状态没有必然的联系。后台报警日志文件保存BACKGROUND_DUMP_DEST参数指定的目录中，文件格式为SIDALRT.LOG... 阅读全文

posted @ 2008-11-12 18:06 一江水阅读(2382) 评论(0) 推荐(0) 编辑

Oracle10g的current_scn是如何计算的?

摘要：http://www.eygle.com/archives/2007/06/oracle10g_current_scn.html 前几天有一个朋友问我一个问题： Oracle10g的current_scn是如何计算的? 我们知道Oracle10g在v$database视图中引入了current_scn，这个SCN来自底层表，代表当前的SCN，在Oracle9i中我们可以通过dbms_flashba... 阅读全文

posted @ 2008-11-12 18:00 一江水阅读(695) 评论(0) 推荐(0) 编辑

Oracle的Number型数值存储及转换

摘要：Oracle在数据库内部通过相应的算法转换来进行数据存储,本文简单介绍Oracle的Number型数值存储及转换.这个内容是为了回答留言板上的2119号问题. 我们可以通过DUMP函数来转换数字的存储形式,一个简单的输出类似如下格式: SQL> select dump(1) from dual; DUMP(1) ... 阅读全文

posted @ 2008-11-12 17:59 一江水阅读(2845) 评论(0) 推荐(0) 编辑

Oracle block 格式

摘要：信息参考: http://www.ixora.com.au/ 特别感谢 overtime 大哥对我的无私的帮助和对我一直鼓励支持我的网友这些资料是没得到oracle 支持的所以不能保证信息的正确性请谨慎使用科技无限随便转载 oracle 8.1.7 8k block windows xp create table t(n number); ... 阅读全文

posted @ 2008-11-12 17:36 一江水阅读(1503) 评论(0) 推荐(0) 编辑

log file switch

摘要：今天接到一資料庫運行非常緩慢﹐登陸到主機查看alert log,發現有"Thread 1 cannot allocate new log, sequence 69271"諸多錯誤提示﹐管理員告知是standby 架構﹐首先懷疑是standby服務有問題﹐先取消遠程歸檔路徑﹐做日志切換﹐發現報錯"checkpoint not complete"﹐再進一步追蹤alert log﹐發現之前也出現了類似錯... 阅读全文

posted @ 2008-11-11 15:46 一江水阅读(1478) 评论(0) 推荐(0) 编辑

log file parallel write（SYSTEM I/0类）

摘要：log file parallel write（SYSTEM I/0类） 1.LGWR专属事件，将日志缓冲区中的重做信息写入到联机重做日志组的所有成员，LGWR在该事件上等待写入的完成。 2.写入时机： >>每隔3秒写入一次 >>在提交或回滚时 >>在满足_LOG_IO_SIZE阈值时 >>在日志缓冲区有1MB的重做项时 >>由DBWR提交时 3.用户会话提交事务时，LGWR会等待该事件的完成，用... 阅读全文

posted @ 2008-11-11 15:01 一江水阅读(2051) 评论(0) 推荐(0) 编辑

Oracle诊断案例-Sql_trace[转]

摘要：这是帮助一个公司的诊断案例. 应用是一个后台新闻发布系统. 症状是,通过连接访问新闻页是极其缓慢通常需要十数秒才能返回. 这种性能是用户不能忍受的. 操作系统:SunOS 5.8 数据库版本:8.1.7 1.检查并跟踪数据库进程诊断时是晚上,无用户访问在前台点击相关页面,同时进行进程跟踪查询v$session视图,获取进程信息 ... 阅读全文

posted @ 2008-11-11 13:46 一江水阅读(552) 评论(0) 推荐(0) 编辑

也说一下Oracle CPU Time[转]

摘要：kamus在他的blog 10gRAC培训 - 2 and last。说到了这个cpu time，具体可以看正文以及下面我与他的留言，他的意思其实就是： CPU Time相对于其它等待事件，应当先忽略CPU Time，处理其它等待事件。而且cpu time高一般代表是好事情，因为系统并没有把时间耗费在Wait上。Elapsed Time = CPU Time + Wait Time，所以甚至我们... 阅读全文

posted @ 2008-11-11 12:30 一江水阅读(5589) 评论(0) 推荐(0) 编辑

Oracle等待事件说明

摘要：Oracle的等待事件是衡量Oracle运行状况的重要依据及指标。等待事件的概念是在Oracle7.0.1.2中引入的，大致有100个等待事件。在Oracle 8.0中这个数目增加到了大约150个，在Oracle8i中大约有200个事件,在Oracle9i中大约有360个等待事件。主要有两种类别的等待事件，即空闲(idle)等待事件和非空闲(non-idle)等待事件。空闲事件指Oracle... 阅读全文

posted @ 2008-11-11 11:00 一江水阅读(1016) 评论(0) 推荐(0) 编辑

Oracle中常見等待事件的說明

摘要：Oracle中常見等待事件的說明 buffer busy waits 指出等待数据库缓冲区高速缓存中的缓冲区。这表示某个会话正把这个缓冲区读入高速缓存和/或修改它。也可能是支持许多并发INSERT操作的表上缺乏足够的空闲列表的表征 db file parallel write 指出与DBWR进程有关的等待。可能与DBWR进程或配置的DBWR I/O进程的数目有关。还可以指示较低或较高争用的设备... 阅读全文

posted @ 2008-11-11 10:47 一江水阅读(1245) 评论(0) 推荐(0) 编辑

Oracle中自动工作负载信息库(AWR)介绍

摘要：作为一个数据库管理员，您可能已经投资购买了第三方工具或使用自己开发的工具来在数据库运行期间采集详细的统计数据，并从这些统计数据中导出获得性能量度。在紧急的情况下，您可以访问这些量度来与当前的情况作比较。再度查看这些过去的事件可以给当前的问题带来一些启发，因此不断采集相关的统计数据对于性能分析变得很重要。一段时间以来，Oracle 在这个领域中的解决方案是它内置的工具 Statspack。虽然某些... 阅读全文

posted @ 2008-11-10 12:42 一江水阅读(835) 评论(0) 推荐(0) 编辑

刷新共享池对sequence的影响[转]

摘要：Alter system flush shared_pool; 阅读全文

posted @ 2008-11-06 17:04 一江水阅读(660) 评论(0) 推荐(0) 编辑