ORACLE第5-7章习题参考答案.doc

第5章 数据查询操作【填空题】1WHERE，HAVING2SUM3%4UNION，MINUS【选择题】1C2A3D4A5A6B【简答题】1什么是SQL注入式攻击？如何防范SQL注入式攻击？（1） SQL注入技术定义SQL注入（SQL Injection）技术在国外最早出现在1999年，我国在2002年后开始大量出现，目前没有对SQL注入技术的标准定义，微软中国技术中心从2个方面进行了描述：（1）脚本注入式的攻击（2）恶意用户输入用来影响被执行的SQL脚本Chris Anley将SQL注入定义为，攻击者通过在查询操作中插入一系列的SQL语句到应用程序中来操作数据。Stephen Kost给出了SQL注入的一个特征，“从一个数据库获得未经授权的访问和直接检索”。利用SQL注入技术来实施网络攻击常称为SQL注入攻击，其本质是利用Web应用程序中所输入的SQL语句的语法处理，针对的是Web应用程序开发者编程过程中未对SQL语句传入的参数做出严格的检查和处理所造成的。习惯上将存在SQL注入点的程序或者网站称为SQL注入漏洞。实际上，SQL注入是存在于有数据库连接的应用程序中的一种漏洞，攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的查询。这类应用程序一般是基于Web的应用程序，它允许用户输入查询条件，并将查询条件嵌入SQL请求语句中，发送到与该应用程序相关联的数据库服务器中去执行。通过构造一些畸形的输入，攻击者能够操作这种请求语句去获取预先未知的结果。（2） 一般的SQL注入攻击防范方法SQL注入攻击防范方法目前已经有很多，总结起来有下面一些：l 在服务端正式处理之前对提交数据的合法性进行检查；l 封装客户端提交信息；l 替换或删除敏感字符/字符串；l 屏蔽出错信息。l 不要用字串连接建立SQL查询，而使用SQL变量，因为变量不是可以执行的脚本；l 目录最小化权限设置，给静态网页目录和动态网页目录分别设置不同权限，尽量不给写目录权限；l 修改或者去掉Web服务器上默认的一些危险命令，例如ftp、cmd、wscript等，需要时再复制到相应目录；l 数据敏感信息非常规加密，通过在程序中对口令等敏感信息加密都是采用md5函数进行加密，即密文md5(明文)，本文推荐在原来的加密的基础上增加一些非常规的方式，即在md5加密的基础上附带一些值，如密文md5(md5(明文)123456)；2请举例说明外连接的3种类型及其用法。外连接其实就是查两张表 左连接就是左边的表全有值，右边表的值可以为空（+）； 右连接是左边表值可以为空（+），右边表的值全有；全连接是左连接和右连接的并集；内连接是左连接和右连接的交集。（1）左外连接（left outer join）select e.last_name, e.department_id, d.department_name from employees e left outer join departments d on (e.department_id = d.department_id);等价于 select e.last_name, e.department_id, d.department_name from employees e, departments d where e.department_id=d.department_id(+);结果为：所有员工及对应部门的记录，包括没有对应部门编号department_id的员工记录。 （2）右外连接（right outer join ）select e.last_name, e.department_id, d.department_name from employees e right outer join departments d on (e.department_id = d.department_id);等价于 select e.last_name, e.department_id, d.department_name from employees e, departments d where e.department_id(+)=d.department_id;结果为：所有员工及对应部门的记录，包括没有任何员工的部门记录。 3.全连接（full outer join） select e.last_name, e.department_id, d.department_name from employees e full outer join departments d on (e.department_id = d.department_id);结果为：所有员工及对应部门的记录，包括没有对应部门编号department_id的员工记录和没有任何员工的部门记录。第6章 视图和索引操作【填空题】1WITH READ ONLY2DROP VIEW 用户方案.视图名;3BITMAP4聚集键5PK_ID6位图7DBA_INDEXES ，INDEX_STATS【选择题】1B2D3B4c5D【简答题】1举例说明使用视图有哪些优点？参阅教材2举例说明B树索引的基本组织结构。参阅教材3什么是聚集？简要说明使用聚集的一般步骤。参阅教材第7章 存储过程操作【填空题】1%TYPE，%ROWTYPE2SYSDATE，SUBSTR(s,star