タグ

SQLに関するnakunaruのブックマーク (29)

  • Time-based SQL Injectionは意外に実用的だった

    このエントリでは、Time-based SQLインジェクション、すなわち時間差を利用したSQLインジェクションが意外に実用的だったという報告をします。デモ映像ありです。 はじめに Time-based SQL Injectionという攻撃があります。これはブラインドSQLインジェクションの一種で、ある条件の場合に一定時間(例えば5秒)スリープし、そうでない時との応答時間の差で情報を盗もうというものです。1回のHTTPリクエストで1ビットの情報が得られるので、それを積み重ねることによって、いくらでも情報を盗めるはずです…理論的には。 しかし、「理屈はそうでも、時間が掛かりすぎるよね」ということで、深くは追っかけていませんでした。SQLインジェクションの検査には有効でも、悪用としての実用性はあまりないと考えていたのです。 きっかけ きっかけは、以下のYahoo!知恵袋に以下の質問です。 SQL

    Time-based SQL Injectionは意外に実用的だった
  • Modern SQL in PostgreSQL

    SQL has gone out of fashion lately—partly due to the NoSQL movement, but mostly because SQL is often still used like 20 years ago. As a matter of fact, the SQL standard continued to evolve during the past decades resulting in the current release of 2016. In this session, we will go through the most important additions since the widely known SQL-92. We will cover common table expressions and window

    Modern SQL in PostgreSQL
    nakunaru
    nakunaru 2015/02/09
  • Osquery

    nakunaru
    nakunaru 2014/10/31
    あとでみてみる。
  • 開発者のためのSQLパフォーマンスの全て

    前書き - インデックスの作成はなぜ開発者のタスクなのか インデックスの 内部構造 - インデックスは何に似ているか インデックス リーフノード - 二重連結リスト 検索 ツリー(Bツリー) - バランス木 遅いインデックス パートI - インデックスを遅くする2つの原因 where 句 - 検索のパフォーマンスを改善するためにインデックスを作成 等価 演算子 - 一致するキーの検索 プライマリキー - インデックスの使い方を確認 複合インデックス - 複数列に対するインデックス 遅いインデックス パートII - 前の問題点が再び 関数 - where句の 中での関数 大文字・小文字を区別する 検索 - UPPERと LOWER ユーザ定義 関数 - 関数インデックスの制限 インデックスの作り過ぎ - 冗長性の排除法 パラメータ化 クエリ - セキュリティとパフォーマンスのために 範囲 検

    開発者のためのSQLパフォーマンスの全て
    nakunaru
    nakunaru 2014/10/20
  • SQLアンチパターン(邦訳: 第2刷)をざっと通して読んだ | キムラデービーブログ

    オープンソースデータベースを加速する「キムラデービー」のブログです。カレー日記を兼ねてます。なお著者は2010-06-01より日オラクルに在籍していますが、サイト(ブログ、またはウェブサイト)において示されている見解は、私自身の見解であって、オラクルの見解を必ずしも反映したものではありません。 以前、こんなことをいってたのですが、なかなか時間がとれず。。。。 今回時間がとれて通してみたので、気になった点だけを以下メモ書きです。 ほとんど重箱の隅をつつくようなものです。(特に問題となるような記述はねえっす) (1) 実践ハイパフォーマンスMySQ第3版の追記 表記ルールxix †1 監訳注: に以下も追記してもらえるとありがたいですね。。。。 なお実践ハイパフォーマンスMySQLMySQL 5.5に対応した第3版が出版され邦訳もでています。 (2) サンプルデータベース xxi SER

    SQLアンチパターン(邦訳: 第2刷)をざっと通して読んだ | キムラデービーブログ
    nakunaru
    nakunaru 2014/07/23
  • GitHub - filhodanuvem/gitql: 💊 A git query language

    You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

    GitHub - filhodanuvem/gitql: 💊 A git query language
    nakunaru
    nakunaru 2014/04/17
    おお、これはcoolだ。 / gitのログをSQLっぽく検索するツール
  • SQLアンチパターン読書会 「ファントムファイル」

    開催趣旨 SQLアンチパターンの内容について、ただ読むだけで終わってしまうのではなく、自分以外の方とディスカッションをする事によってさらにパターンを落とし込んでいくことを目的としています。 概要 SQLアンチパターンに記載されている対象のパターンについて、全員でディスカッションを行います。 パターン内容については当日さらっと確認するぐらいにとどめようかと思っております。そのため、読書会までは対象パターンの章については読んできてください。 スコープ 今回は書籍より「第11章 ファントムファイル(幻のファイル)」になります。 当日の流れ 19:45〜20:00 開場、受付 20:00〜21:45 ディスカッション 21:45〜22:00 振り返り 注意事項 ・書籍はお持ちください。書籍、電子版はどちらでもかまいません。 ・対象パターンについては読んできてください。 ・当日は4Fの会議室で開催し

    SQLアンチパターン読書会 「ファントムファイル」
    nakunaru
    nakunaru 2013/11/05
  • qpstudy 2013.07の懇親会でRDBMSのインデックスに関するクイズLTをしてきた - このブログはURLが変更になりました

    2013/07/28に開催されたqpstudy 2013.07の懇親会で、RDBMSのインデックスに関するクイズLTをしてきました。 発表資料はこちら。 インデックス使えてる?じぇじぇじぇ! from Takuto Matsuu 補足事項 発表では3問出題しましたが、家のThe 3-Minute Test: What do you know about SQL performance?は5問あります。インデックスに自信が有る方は是非チャレンジしてみてください。 資料にも書きましたが、Use The Index, Luke!はインデックスを学ぶなら必見のサイトです。是非どうぞ。 Use The Index, Luke!の内容をまとめた書籍SQL PERFORMANCE EXPLAINEDについては以前このブログで紹介したのでそちらをどうぞ。PDF版もあります。 Use The Index,

    qpstudy 2013.07の懇親会でRDBMSのインデックスに関するクイズLTをしてきた - このブログはURLが変更になりました
    nakunaru
    nakunaru 2013/07/30
    基本だけど、基本だよねっていう良い資料
  • 書籍『SQLアンチパターン』に関するつぶやきまとめ #sqlap

    2013年01月に、和田親子(和田省二氏、和田卓人氏)共同監修の書籍『SQLアンチパターン』が発売されました。このTogetterでは、親子対談となったジュンク堂イベントをメインにつぶやきや関連サイトをまとめて行きます。 O'Reilly Japan - SQLアンチパターン http://www.oreilly.co.jp/books/9784873115894/ 続きを読む

    書籍『SQLアンチパターン』に関するつぶやきまとめ #sqlap
  • SQLアンチパターン - 開発者を待ち受ける25の落とし穴

    3. 諸君は自らの経験からいくらか学ぶことがで きるという、全く愚かな考えであろうが、 余はむしろ他人の失敗を学ぶことで、自分の 失敗を回避することを好む。 ─オットー・フォン・ビスマルク Nur ein Idiot glaubt, aus den eigenen Erfahrungen zu lernen. Ich ziehe es vor, aus den Erfahrungen anderer zu lernen, um von vorneherein eigene Fehler zu vermeiden.

    SQLアンチパターン - 開発者を待ち受ける25の落とし穴
  • SQLアンチパターンを読んだぜ! - yojikのlog

    どうしようもない僕に献が降りてきた! SQLアンチパターン 作者: Bill Karwin,和田卓人(監訳),和田省二(監訳),児島修出版社/メーカー: オライリージャパン発売日: 2013/01/26メディア: 大型購入: 5人 クリック: 624回この商品を含むブログ (12件) を見る ありがとうございます。 結論を先に述べると、すごく読みやすくてためになるです。 RDB使ったシステムを作っている人、特に長年やって人ならば必ず遭遇したことがあるアンチパターンのカタログです。アンチパターンが発生しやすい状況、悪影響や解決方法なども述べています。若い人は現実のシステムで失敗する前に予習できるので、絶対買ったほうがよいでしょう。「この問題!進研ゼミでやったところだ! 」 自分は論理設計のアンチパターンのあたりがお気に入りです。アンチパターン「ポリモーフィック関連」や「エンティティ・ア

    SQLアンチパターンを読んだぜ! - yojikのlog
    nakunaru
    nakunaru 2013/02/14
    "若い人は現実のシステムで失敗する前に予習できるので、絶対買ったほうがよいでしょう。「この問題!進研ゼミでやったところだ! 」"
  • SQLアンチパターン

    書はDB設計やSQL記述の際に避けるべき事柄を1章で1つ、25個紹介する書籍です。リレーショナルデータベースを中心に据えたシステム開発には、様々な場面で陥りやすい失敗(アンチパターン)があります。書はデータベース論理設計、データベース物理設計、クエリの記述、アプリケーション開発という4つのカテゴリに分け、それぞれの分野におけるアンチパターンを紹介し、失敗を避けるためのより良い方法を紹介します。複数の値を持つ属性や再帰的なツリー構造の格納から、小数値の丸めやNULLの扱いに起因する問題、全文検索やSQLインジェクション、MVCアーキテクチャなど、実践的かつ幅広いトピックを網羅します。日語版では、MySQLのエキスパートとして著名な奥野幹也氏によるアンチパターンを収録。データベースに関わるすべてのエンジニア必携の一冊です。 書への称賛の声 監訳者まえがき はじめに I部 データベース論

    SQLアンチパターン
  • http://atnd.org/events/33751

    http://atnd.org/events/33751
    nakunaru
    nakunaru 2012/12/24
    うおお、これはすごく興味あるけど条件みたしてないや。
  • SQLのインデックスについて解説した洋書が良かった件。PDF版もあるよ(2012/10/22までの割引購入クーポン有) - このブログはURLが変更になりました

    最近読み終えたSQL PERFORMANCE EXPLAINEDという洋書がインデックスについて詳しく説明されてていい感じでした。原著はドイツ語人による英訳版らしく誤字いくつか目につきますが、インデックスについてここまで詳しく説明した書籍は他に例がありません。私が知らないだけかもしれませんが。 どういった内容か 複合インデックス、部分インデックス、クラスタインデックスの使うポイント、LIMIT、ORDER BY、GROUP BYでのインデックスの使われ方などが解説されてます。また、MySQLSQL Server、PostgreSQLOracleの各実装の違いなども丁寧に紹介されています。対象バージョンが比較的新しいのもポイントですね。 詳しくは第二章まで読めるプレビュー版とその目次をご覧ください。 ペーパーブック版とPDF版あります 私が購入したときはペーパーブック版しかなかったの

    SQLのインデックスについて解説した洋書が良かった件。PDF版もあるよ(2012/10/22までの割引購入クーポン有) - このブログはURLが変更になりました
    nakunaru
    nakunaru 2012/10/25
  • SYSDATE に関する実験 - オラクル・Oracleをマスターするための基本と仕組み

    SYSDATE で色々やってみる プログラミング作業をしていると システム日付関数 SYSDATE を 特に気を使うことなく多用している。 しかし、調べてみるとデータベースサーバーのリソースを一番消費している処理だったということが少なくない。 ユーザーSQLではもちろん、内部のSQLでも頻繁に呼び出される。オラクルで最も使用回数が多い関数と思う。 そんな誰でも使っている関数なのに、未だに良く分からない事が多い。(=仕様{振る舞い}を知っているだけ) SYSDATE および SYSTIMESTAMP は、ファンクションの位置付けになっている。 SYSDATE, SYSTIMESTAMP 関数・・・動きを観察して考えると、実に不思議でユニークな関数である。 通常 SQL 文の中では、いくつ記述しても 1回の評価しかされない。(1つのバインド変数のようにも見える) しかし、異なるコンテキスト*1

  • 【回答編】SQL FizzBuzz - qaz76のブログ

    「FizzBuzz問題を考えてみた(SQLスキル判定用)」改め「SQL FizzBuzz」 やはり、プログラミングパラダイムが他と異なるので。。 FizzBuzz問題を考えてみた(SQLスキル判定用) http://d.hatena.ne.jp/qaz76/20120325/1332674095 の準備していた回答をば。 ※コードは、最近なぜか身近なSQL ServerのSQLで。 コメントやTwitterでレスポンス下さった方々、ありがとうございました! SQL FizzBuzz問題 命題はこう。。 SQL FizzBuzz問題 1から100まで表示すること その数が3で割り切れるなら"Fizz"を表示すること その数が5で割り切れるなら"Buzz"を表示すること その数が両方で割り切れるなら"FizzBuzz"を表示すること SQLクエリで完結すること テーブルを使用しないことDDLを

    【回答編】SQL FizzBuzz - qaz76のブログ
    nakunaru
    nakunaru 2012/03/27
    テーブルを使わないというのはdualとかSYSDUMMY1は除外なのか。
  • Grass on SQL - still deeper

    Overview ちょっと草植えときますね型言語 Grass をSQLで実装しましたという話. Grassはλ計算をベースにした関数型プログラミング言語です.公式ページの仕様を元にSQL(PostgreSQL)で実装しました. 他Grassについては上記の公式ページとかここら辺を参照. プログラミング言語/Grass - プログラミングスレまとめ in VIP うはwww Mosh で Grass 実装したwwww - Higepon’s blog - Mona OS and Mosh Example SELECT run_grass('wwWWwv wwwwWWWwwWwwWWWWWWwwwwWwwv wWWwwwWwwwwWwwwwwwWwwwwwwwww'); run_grass ----------- ww (1 row) SELECT run_grass('wWWWwwwwWWW

    nakunaru
    nakunaru 2012/03/16
    ちょっと頭おかしい
  • 指定した範囲の行を取得するクエリ - HHeLiBeXの日記 正道編

    DB2 Express-C v9.7.2のWindows版で使えていたLIMIT/OFFSETが同Linux版で使えなくて、プラットフォームによって違うのかと思ってしまい、同等のことができる構文をいろいろと調べた挙句、インストール直後の設定が違っていただけという。 で、せっかくなので、調べたいろいろをまとめてみようということで。 ただDBごとに並べても面白くないので(謎)、構文ごとにまとめてみるというアプローチで(更謎)。 前提として、次のようなテーブルを作っておく。 CREATE TABLE hoge(str VARCHAR(8)) INSERT INTO hoge(str) VALUES('bbb') INSERT INTO hoge(str) VALUES('ddd') INSERT INTO hoge(str) VALUES('fff') INSERT INTO hoge(str)

    指定した範囲の行を取得するクエリ - HHeLiBeXの日記 正道編
    nakunaru
    nakunaru 2011/08/11
    DB毎のlimit offset etcの対応状況
  • 各DBMSで日付型の値から曜日を取り出す - HHeLiBeXの日記 正道編

    最初、PostgreSQLでdate_part関数を使用している処理があって、それをMySQLではどう書けばいいかというのを調べたことから始まったのだが。 手始めに次のブログを見つけた。 馬場誠Blog(東京都世田谷区経堂のWebクリエイター)» ブログアーカイブ » MySQLで曜日ごとに集計する で、結局はMySQLではdate_formatは使わずに別の関数を使ったのだが、それも含めて、整理してみようと思ったらしい。 参考にしたのは、次の。 【改訂第3版】 SQLポケットリファレンス (POCKET REFERENCE) 作者: 朝井淳出版社/メーカー: 技術評論社発売日: 2009/04/29メディア: 単行(ソフトカバー)購入: 6人 クリック: 117回この商品を含むブログ (17件) を見るあと、次のWebページ。 00i.org IBM Knowledge Center

    各DBMSで日付型の値から曜日を取り出す - HHeLiBeXの日記 正道編
  • サービス終了のお知らせ

    サービス終了のお知らせ いつもYahoo! JAPANのサービスをご利用いただき誠にありがとうございます。 お客様がアクセスされたサービスは日までにサービスを終了いたしました。 今後ともYahoo! JAPANのサービスをご愛顧くださいますよう、よろしくお願いいたします。

    nakunaru
    nakunaru 2010/09/14