sql试图加载格式不正确的程序

我们在 solo solo 数据库导入 ofs 表的时候，他会报错， 打开这个数据库之后添加任务，导入数据，点击下一步，我们选数据，原为 excel 数据表，在浏览这随便选一个 excel 数据， 看点下一步的时候他会报错，报这个未在本地计算机上注册这个程序，我们需要怎么解决呢？ 打开浏览器，输入这个网址， 点击下载 pk 歌。 好，下载回来 双击安装运行， 点击下一步，我接受下一步，点击安装， 点击确定 关闭这个数据库，重新打开， 我们再重新导入一下，选择数据源一个赛尔表， 点击下一步就可以导进去了。选择我们要导入的数据库， 这个我的数据库是测试，这里可以点开预览一下 给你下一步，下一步完成， 刷新一下，在表里就可以看到 我们倒进去的。 好，这个就是问题的解决办法。

搜索注入你是怎么测试的？ ok， 今天我们来聊聊外部安全测试里边一个经典又高危的一个漏洞。搜索注入，简单说呢，它就像黑客在和你网络数据进行对话，通过输入框这些地方插入一些恶意的搜索代码，就能骗过系统， 直接去操作你的数据啊。常见的危害有几个，第一个就是数据泄露，比如直接把用户表里的所有密码，手机号这些全部去拿走。 第二呢，就是权限绕过啊，最典型的就是用万能的密码直接登录管理员账号。那第三呢，就是数据篡改甚至删除，可能导哥导致整个业务进行瘫痪。那我们在测试的时候要抓住什么要点呢？核心思想就是把每一个用户输入点都当做潜在的攻击入口，这样我们不能测试一些正常的数据， 我们更要从系统性的去输入各种脏数据以及异常情况。然后测试的关键在于尝试用一些特殊字体，比如说单引号儿注视符去闭合，或者说去注视掉这些原本的 clue 语句，然后去拼接上我们自己的恶意命令，看下系统是否正常。 我举个经典的例子，比如一个登录框，它正确的搜索可能是 select 星 from user， where user name 等于你输入的用户名儿 and password 等于用户输入的密码，那黑客呢？它会在这个输入框里面输入默认杠杠儿，那拼接之后呢，其实搜索就变成了 select 星 from user， where name 等于 administrator， 杠杠 and password 等于后面的 password， 你 就是随便去写，你看到了吗？那杠杠之后呢，就是把密码验证码完全注视掉，系统直接返回用户名为 administrator 的 第一条记录，黑客就这样以管理员的身份 直接进去了。所以我们在做一些注入测试的时候，要模拟黑客的这种思维，对应一个输入框，系统性的去尝试输入一些星号冒号或者奥一等一， union select 等等这些 fill 的 去观察页面是否报错，数据是否异常啊。更专业的做法是使用一些 sqlmap 这样的自动化工具进行深度的探测。那 总结一下呢，搜狗助手测试就是一场攻防演练，他要求我们以攻击者的视角，用破坏性的思维去见证系统的每一个边界，只有通过这种严苛的测试，我们才能更放心的说，我们的数据防线是坚固的啊。希望今天的分享对你有帮助。

每天一个晚安小知识，今天我们要学的是 siri 注入，不知道密码的情况下还能进入网站后台，你没听错，只需要一个 siri 注入漏洞，就能把你的数据库名、表明等所有的数据全部拿走。到底什么是 siri 注入呢？一个视频告诉你，如果你也对网络安全感兴趣的话， 我这里准备了入门到进阶的全套教程，欢迎评论区留言，晚安！好了，废话不多说，教程开始。大家好，今天这期视频我们来讲解一下什么是搜口助手。第一个问题，什么是搜口？大家在网站里面填写的一个账号信息，或者是在一些平台购买了一些商品， 他会有一个订单，或者是你浏览了一些这个数据，他也会有一个记录，那么这些记录他都存储在一个叫做数据库的结构化数据仓库里面，我们打开一个网站， 在这个地方呢，他会要求我做一个登录，那登录我就需要输入我的账户名和我的密码，那么大家有没有想过，就是他在做叫宴的时候是在和谁做叫宴？哎，其实他是在和这个网站后台里面的一个数据库， 数据库里面呢会有一张表格，那么表格里面就会包含了很多的一个账户信息啊，那如果说我输的账户和和我的这个密码 确实符合他后台那个表上面的信息，那么就是登录成功。那么还有一种，比如说这个免费注册，如果说你没有账号，你没有关系，我们也可以去注册注册的话呢，我们就需要输入我的一个手机号， 对吧？那其实他的一个原理呢，也是把你的这个手机号，把它保存到他后台那个数据库里面的表格里面， 这样呢，你下次做登录的话，哎，他只需要去他的表格里面去查看是否存在这个账号，如果存在，那么呢你就输入密码登录，如果说这个账号不存在呢？哎，那就是要做一个注册好， 那如果说这个程序员他想要操作这些数据，哎，那么呢就必须要用到一个叫做结构化的查询语言， 这个语言的一个简称就是叫做 s q l， 我 们简称把它叫做 sook， 它需要用到这个 sook 和数据库去做一个对话， 比如说怎么样让这个账号去存到啊这个库里面去，或者是呢，我怎么样才能够从我的数据库里面去查询数据啊，或者是修改数据这些啊？啊？所以说搜口他就是数据库的一个专属沟通语言， 并且他学起来非常的简单，因为数据库里面的一个表格信息和我们生活当中的这个 excel 表格是非常相似的。好， 那么第二个问题，什么叫做 circle 注入， circle 注入的专业定义呢？叫做 circle injection， 他是一种典型的网络攻击技术啊，他指的是攻击者可以通过在用户可输入的一个地方，比如说像这种输入框呀， 或者是写文本的一些信息啊，这种登录框，搜索框或者是表单当中去插入恶意的搜索片段， 让这个应用程序生成的一个动态搜索语句呢，被非法的篡改，最终就导致数据库他执行了原本不应该执行的一个操作。 简单来说啊，就是说给数据库去发一个假的命令的骗局，对吧？数据库呢，他本来只认这个程序员写的一个合法指令，但是攻击者他用了一些特殊的这种指令，让这个数据库呢执行了， 哎，一些这个不好的事情，就相当于说像这个骗子是吧？在你的这个转账单上面偷偷的改了一个收款人的一个金额，但是呢，这个银行他却照照常呢去执行了啊。 那第三个问题，就是搜口注入的一个原理，大家可以看到，比如说我们在这个网站去做登录的时候，比如说我输的一个账户名叫做 user 一， 然后呢我输的一个密码叫做一二三四五六，那么正常来说， 应用程序呢，他就会自动的拼接一条搜口指令，这个搜口指令呢，我写在这个后面，可能大家看不懂啊，这个没有关系啊，我们给大家去解读一下，我先复制一下指令，在这里 可能看起来呢比较长，但是其实他理解起来是相当简单的，因为你会发现他其实就是一些这种简单的英语做一个组合。那首先第一个单词叫做 select 的， 这个就是查询的意思啊，查询好后面加上一个星号，星号代表的意思就是所有信息啊，查询所有信息 后面加上一个 from， from 呢？就是来自，对吧？就是我要查询的所有信息是来自于哪里， 然后后面跟了一个 users， users 它的意思是一个表格的意思啊，就是我要从这个表里面去查询所有信息， 好，后面又加了一个叫做 where， where， 这个是条件的意思啊，条件？条件是什么呢？哎，条件是我输的用户名哎，等于 user 一， 并且是吧，这个密码等于一二三四五六，是不是？ 那么他执行完这个语句之后，哎，就会从他的一个后台，从他的一个 uzi 这个表当中去查询有没有这个账户名等于 uzi 的， 并且密码等于一二三四五六的， 如果确实有，那么就是登录成功，如果说没有的话，那么就是登录失败，大家可以看一下啊，这条指令的意思就是从 user 表当中找用户名是 user 一， 并且密码是一二三四五六的一个用户， 哎，如果说数据库验证对了，那么呢就允许你的一个登录，这个就是一个正常的流程，那么如果说这个网站他存在一个搜索注入的漏洞，那么他是怎么样做一个注入的啊？你看攻击者呢，他不会按照这个常理出牌， 他会在这个密码框呢去输入一个万能密码，叫做哎喔，一等于一，那如果说他输入了这个字段之后，整个搜索语句他都会变了， 就变成这样子了啊，我这里写过来，那么现在的搜索语句他就完全变了，前面这一块他其实是一样的， 对吧？查询所有信息，从这个表里面查，条件是登录的用户名等于优者一，并且密码等于， 哎，大家会发现后面加了一个或一等于一，这个或的意思是代表或者的意思啊，或是或者或者的后面加了一个一等于一， 那么这个他是一个永远成立的条件，他加了这个指定之后呢，就相当于是告诉了数据库，不管密码他是不是正确的，他都算验证通过，对吧？因为他会把前面 这一块啊，认识成一个整体，然后呢，后面 word 后面也认识成一个整体，那 word 的 话呢，只要有一个为真，只要有一个成立啊，那么整个条件他都是成立的， 哎，所以说后面这个是永远成立的。那么整个搜索语句呢，那么就是变成一个查询所有用户信息的，他不管你的这个账户名和密码是否正确，他都算通过。 哎，所以攻击者呢，他不用输入这个正确的密码也能够去直接登录啊，这个就是恶意的搜索片段，篡改了指定的一个核心逻辑。 好，第四个部分呢，就是搜口注入的一个危害，咱们刚刚也看了，他不用正确的密码也能够登录，那危害肯定是比较大的。那第一个就是敏感数据的一个泄露， 攻击者他能够通过一些注入的指令扒出数据库里面的一个用户 账户密码，对吧？我能够直接看到你表里面的所有账户名和这个账户密码是啥 啊？或者是一些隐私的敏感信息，这个身份证号啊，手机号啊，银行卡等等的一个私密信息。那像早些年 某一个这个比较知名的社交网站啊，他就因为存在一个搜索注入的漏洞，就会导致了这个很多的一个用户，他的一个密码呢就被泄露， 因此呢，很多人都遭遇到一个盗号的风险啊。第二个就是数据的篡改与越权，呃，比如说他注了注入了这些 update 这类的指令修改之后啊，攻击者呢，可以去偷偷的改这个数据 啊，比如说把，哎，比如说这个某个电商网站，他存在一个这样的漏洞，对吧？那么他就可以直接通过一个这个搜索输入，把这个商品的价格改成一元，或者是把自己的一个账户余额去改的更多， 甚至呢将普通用户的一个权限去改成一个管理员的权限啊，随意删除网站的一个内容啊。第三个呢就是数据库的一个破坏， 如果说非常的严重，那么攻击者他就会注入这种 job 啊， table 这样的危险指令啊， job 呢是删除的意思， table 呢就是表格，意思就是删除这个用户表格，哎，怎么说呢， 就说我们去打开一个这个页面去做登录，那么突然间有一天你发现啊，你输的这个账户和密码呢，点击登录之后，他告诉我这个账户不存在啊，其实就是把你的这个账户呢给他删掉了， 那么像这种危险指令呢，损失是非常大的啊，他可以直接把数据库里的核心表格给他删掉，这样呢就会导致网站就登录不了 啊，包括一些这个订单的消失，就把订单呢也被删掉了，或者是这个恢复数据，他可能要花几十万甚至上百万啊，还会损失一个用户的信任。那么第五个就是最后做一个总结， 搜口助手的本质呢，就是攻击者他通过输入恶意的搜口代码，篡改数据库的一个指令的攻击手段，他会导致敏感信息的一个泄露，数据呢被篡改，甚至整个数据库被破坏， 对个人的一个信息安全和网站的运营危害是非常大的，那么我们呢要去了解它的原理和危害，这样呢就能够帮助我们更加警惕这类网络安全的一个风险。好，那么本期视频我们就讲到这，咱们下期再见，拜拜。

是否查询一定要避免？是 like 的 心吗？抱歉，这次我要唱个反调，盲目遵循这条铁律，可能会把你的代码维护搞成灾难。 为什么？如果不写是 like 的 心？今天业务要查 a 字段，你写个方法。明天要查 b 字段，你又得加个方法。最后你的 dio 层代码直接爆炸，充满各种零碎字段的查询代码， 这维护成本谁顶得住？很多人担心 select 星会影响性能，但是大多情况下，只要锁影走对了，查三个字段和查十个字段性能差异不大。 为了这点性能提升，却严重牺牲了代码的扩展性，这笔账不划算。当然，这里有个前提，如果表里有 test blob 这种大字段，那就不要用 select 的 心，大字段会把数据库的内存和网络宽带瞬间吃光。大字段必须按需查询， 架构设计，永远是权衡对错都不绝对，所以没有必要把 select 星妖魔化，避开大智断，它带来的开发效率提升往往要大于性能损耗，是一个更务实的选择。关注我，解锁更多实战技术干货，记得点赞关注哦！

今儿啊，差点被一行代码给吸出心梗来，代码 review， 业务逻辑，写了一个负循环，这一点问题都没有，但他在循环题里面每一次都去查了一遍数据库，更有甚至啊，双层循环，每一层又都查了一遍数据库。 我就问他，你这代码是写代码吗？你这是对咱数据库里面发起 ddos 攻击啊，很多新手不理解啊。业务逻辑没问题，查出 id 再便利查详情，这一点毛病没有啊，大错厕所 你算一笔账啊，一次循环就是一次网络 l， 一 次数据库访问，就算入口只有一 qps， 如果你循环一千次，那得下对到下游，那就是一千次网络请求，一千次数据库访问， 光键连接网络传输耗时就够你喝一壶的。如果这个时候啊，并发症来一波，数据库的连接池瞬间就被你耗干，整个系统直接卡死。 这种问题在架构圈有个小名字叫 n 加一问题。正规军的做法啊，永远是批量查询。先把循环里的 id 收集到 list 里面，然后再用一条色号 select where id in list， 一次请求全部带回。记住一句话，能用批量就决不用十四查询，无论做人还是写代码啊，这都是这一个一个道理。你的团队有这种在后循环里面查数据库的人才吗？评论区艾特他出来挨打。

别以为 sql 执行只是敲个语句点运行，不懂它的执行流程，遇到性能问题你根本无从下手。当你在 navigate 输入 sql 并按下回车时，客户端会通过网络连接数据库服务器发送请求。这就像走进餐厅后，你把想吃的菜报给服务员，客户端是你，服务员是网络连接 数据库，服务器就是后厨，你无需关心后厨运作细节，只需传递需求，等待结果即可。发送请求前需确保网络通畅，否则就像餐厅信号差，服务员听不到你的点单。服务器收到请求后，连接器首先验证你的用户名密码是否正确，以及是否有权限执行这条 sql。 比如能否查某表改数据，这就向餐厅服务员确认你是会员身份验证，且点的菜在供应范围内。权限。 若你无权限查某表，数据库会返回拒绝访问。如同餐厅告诉你，这道菜仅限 vip， 验证通过后，连接器会保持连接供后续操作。若数据库开启查询缓存，会检查这条 c 框是否曾执行过，且结果未失效。若有缓存直接返回结果，省去后续步骤。 这就像你常点番茄炒蛋，后厨提前做好保温，你一来就端上桌。但如今 my sql 八点零已去掉缓存，数据频繁变化时，缓存易失效，维护成本比重新执行还高。如同餐厅不会提前做易坏的海鲜。 无缓存或缓存失效时，解析器会检查 sql 语法是否正确，如 select 写成 s、 e， l， e， c， 并拆分单词生成语法数。 这就像服务员核对点单，您点的是番茄炒蛋、鱼香肉丝吗？确保没听错写错。若语法错，数据库返回语法错误，如同服务员纠正你是西红柿炒蛋，不是稀释炒蛋。解析器还会确认表和字段是否存在，避免点不存在的菜。 解析器生成语法数后，优化器会考虑所有可能的执行方式，比如用哪个缩影连接表的顺序，选择成本最低的计划。这就像厨师长安排任务，先做番茄炒蛋快，同时炖鱼香肉丝的肉，这样两菜同上桌。 优化器是数据库的，厨师长总能找到最快的做菜顺序。比如查表史时，主键锁影比全表扫描快十倍。优化器确定计划后，执行器会按步骤调用存储引擎接口，比如查搞 id 等于一的记录。 这就像厨师长安排后，厨师们行动。切菜的切菜、炒菜的炒菜，执行器不直接碰数据，而是通过接口操作。如同厨师让帮厨去仓库拿食材，而非自己动手。 执行器会跟踪进度，确保每步按计划执行。存储引擎，如 inobd， 负责数据的存储与读取，它根据执行器要求，用锁影快速找数据或修改数据。这就像帮厨按厨师要求从仓库拿番茄鸡蛋洗切好递过去， 存储引擎还处理事物和锁，比如两人同时改同一条数据时，它会确保数据正确。如同帮厨保证食材新鲜，不会让变质的菜上桌。 执行器拿到数据后，会按 sql 要求处理，比如过滤 v 二条件不符的记录，或按 order by 排序。这就像厨师把做好的菜成盘摆好，去掉胶边的菜叶过滤，按荤素顺序摆盘排序。处理时，若数据量大，会分批操作，避免内存过载，如同厨师一道道菜做，而非一次性炒十盘， 处理好的结果通过连接器返回给客户端，这就像服务员把摆盘好的菜端到你桌上。若结果极大，数据库会分批返回。比如查一千条数据分十次，每次返一百条。如同餐厅一道道菜上，而非堆一桌。 返回后，短连接会关闭，长连接则保持共下次使用。如同你吃完后离开短连接，或留在餐厅继续点单长连接。以上就是今天关于一条 c 口是如何执行的的全部内容。

就是恢复了，你啊，他们之前是有第三方跟他处理过是吧？失败了哦，他们可能损坏了，应该用不了了。某企业服务器中勒索病毒，情急之下找了家数据恢复公司，服务费支付了几万元，等来了却是数据的彻底报废，你认为这谁的责任？ 这结果你能接受吗？听听这段录音到底发生了什么？什么又是恢复失败？最后曹老师解读背后的原因，还有正确的病毒解决方式，肯定对你有帮助，别忘记点赞收藏哦。是修复找了第三方修复失败的是不是？对哦，这样啊， 恢复他也不是所有文件失败了，他独独独把那两个数据库文件搞坏了，好像其他有些文件呢，好像又不知道有，有部分正常，有部分不正常。对哦， 那我明白了啊，所以他他们找很多都是，我估计他贪便宜就找一些，网上很多不专业的也没检查。 是这样的，很多的，我们这边翻修很多的重要的两个数据不稳定，搞坏了那些应该是比较大的。五点。 五点几 g 吗？起码上 g 的 不用说的啊。这个可以，这个要远程检查一下，看看有没有。这行业太乱了，你根本上不知道网上有很多数据回复工资实质上是带缴赎金的黑中介，他们连完整的解密流程都没参与过，你花钱买蜜药，其实在赌命， 一旦出现了问题，人直接消失，你有什么保障？最后到手的只是一串没有用的代码。记住，千万别找带脚属金的黑中介，他们只负责转卖密钥，不分析病毒特征，不做底层修复。关键是文件结构损坏， 光有力量也无法解密，黑中介毫无技术能力，你的核心数据他们根本上救不回来。如何识别黑中介？为什么核心数据库会解密失败？如何保障数据库的成功恢复，这才是我们的重点。关注我 服务器中毒所病毒、数据库恢复失败的三大元凶，花几万块钱，这结果你能够接受吗？你不知道，网上所谓的数据恢复公司，其实连解密流程他都没有参与过， 只会告诉你购买密要能够恢复数据，解锁文件。那些连代码都看不懂的二道贩子，经过了两次三次的层层加价，你说你的价格怎么会不高？最终为什么责任还是由你去承担？如何避免向这位受害者的经历，我在第一集已经有了详细的介绍。 密钥不等于解密，即使文件恢复了，但核心数据库往往是我们的重灾区，特别是我们的 erp 软件的 circle、 奥利，扣上这些上居的大型数据库，文件在加密的时候已经损坏了，有密钥也就不回文件加密不正常，自然就不能够解密了。 购买蜜蜡并不是唯一的解决方式，还有技术处理，药价从几万直接被压到几千，决定你的价格的是解决方案，拒绝没有技术能力。只要你购买蜜蜡的黑中介，如果你不会识别，难道你不会看案例吗？ 你也不要一上来就问价格，不分析样本检查数据，我也只能会给你。蜜蜡失败风险全由你承担，也别着急的付款，全流程恢复数据服务才是最大的病毒解密保障。 关键是数据检查预判后备方案，可式化的数据检验，必须看到数据才付款，是你的成功保障。其实很简单，只要把文件给我们，我们就可以判定是哪一种病毒，哪一个家族，并给你合理的解决建议。常见病毒我们已放评论区。

当把喝醉酒的女生送回家，发现他电脑上竟有许多神秘网站，想一探究竟，却发现需要账号密码，该怎么办？你难道不知道任何未经允许的黑客行为都是违法的吗？但是如果你不小心打开了卡里，还进入了 root 模式，又不小心输入了 second mac 酷 u， 加上目标网站，看看是否存在 ck 注入的漏洞。如果出现下面这些就代表着网站有漏洞，那么这时候一定不要输入这串指令，不然就会进入他的数据库，这里都是网站存放重要数据的表， 很兴奋，很容易不受控制的输入这段命令，还会手抖按到回车键，结果导致你不小心看到了该网站的管理员账号和密码。 你真的一点都不想进这些伤身体的网站。你只是想了解女生的爱好，正经想学网络攻防知识和工具都在老地方准备好了，粉丝都可以找我拿，希望你也能把技术用在正道上。

在前两期呢，我们运行了一下我们的项目代码，就是把我们的项目后端，前端还有小程序端都跑起来了，但是在其中有一个重要的步骤，就是把我们的数据库表要导入进来， 要如果没有数据库表，这些项目里面的数据呢，是加载不出来的，比如这些数据是空的，或者项目就启动不起来。好，这个怎么导入呢？首先要打开我们的 navic 的 工具， 这个呢就解压就可以用了，之前我们有安装教程，接着就解压一下双击里面的这个图标啊，这个图标 图标呢，我们这边是固定到开始了，我给大家带大家看一下我们这个它的位置，打开它的文件位置啊，这是一个快捷方式，可以再看，再打开 这个里面就是这个就是我们解压后的，解压后的出现一个绿色版，然后我们双击这个点 exe 文件，它就能够呃就运行使用了啊。如果大家以后找它，为了方便呢，你可以点击这个 开始菜单里面固定啊，因为我目前是固定的，所以再点就是取消固定了，只要固定到开始菜单里面，我们下次找就非常方便啊。同理呢，其他的这几个工具也可以这样固定到我们的开始里面，方便我们后续去找。 这个打开之后呢，我们在这里点击右键啊，点击这个运行 sql 文件，这个里面运行 sql 文件呢，我们有这个三个点，点击它来寻找我们需要的一个 sql 文件，还是打开我们的 这个代码路径，在这里我们把路径先粘贴到我们这里，调回车路径变化之后呢，我们在这个 code 里面会有个 sql 文件夹在这里打开，这个就是我们的需要的一个数据文件，我们点击打开， 打开之后呢，它只是一个选中的状态，我们要点击开始它才可以运行执行啊，点击开始啊，开始就可以了，出现这个完成，然后这个成功这两个单词，出现这两个单词之后呢，就证明已经运行好了，就点击关闭， 同时我们再刷新一下，然后可以看到这多一个，如果没有刷新的话，那是少的，因为我之前是有，所以就， 所以就又运行了一下，会出现一个这个数据库名，我们根据这个数据库名呢，就是我们所需要的一个数据库文件，有了这个文件 我们才可以正常的登录项目，比如这里面你看有这个管理员的一个用户啊，在用户名里面呢，会有这个 啊，用户的一个信息啊，比如用户一，我们用用户来登录啊，这个命名呢是用这个拼音的啊，因为现在，嗯，即使不是大厂，就是也很多中小公司呢，他命名现在也很多用的拼音。不是说一定要完全那么规范 啊，因为咱这个项目是自己开发的，只要自己能看懂啊，也不需要团队合作，所以我们用拼音命名不规范一下也是可以理解的 啊，只要能够知道自己写的是什么就可以，如果要涉及到团队开发呢，我建议还是命名规范一些，比如用英文啊。呃，让大家用一些大家约定俗成的命名是可以的， 这样我们的数据文件就导入了，这样可以配合我们的后端就可以一起来运行启动。