Лекции по предмету омбт (Oracle 9i маълумотлар базаси технологияси) Лекция Введение в Oracle 9i. План

SQL*Plus позволяет использовать интерфейс командной строки для написания команд SQL*Plus, SQL и PL/SQL. При этом можно:

• вводить, редактировать, выполнять, хранить, выбирать и сохранять команды SQL

Шаги запуска SQL*Plus:

1. Откройте терминальное окно.

В результате SQL*Plus запушен и подсоединен к базе данных по умолчанию.

SQL*Plus можно вызвать из скрипта командного процессора или ВАТ-файла. Для этого в скрипте указывается команда sqlplus, которой передаются параметры с использованием синтаксиса, который зависит от операционной системы.

В приведенном примере команды SELECT, UPDATE и COMMIT выполняются до возврата управления операционной системе.

Из SQL*Plus можно вызвать существующий SQL-скрипт. Вызвать существующий SQL-скрипт можно в сеансе SQL*Plus, воспользовавшись для этого оператором "@". Например, в уже установленном сеансе SQL*Plus можно ввести:

Код:
SQL> @script.sql

Группой NGSSoftware обнаружена серьезная уязвимость в Oracle iSQL*Plus - веб-приложении, позволяющем пользователям формировать запросы к базе данных.

Уязвимость присутствует в базе данных Oracle 9i R1,2 всех ОС. Приложение инсталлируется вместе с Oracle 9 и запускается "поверх" Apache. Обнаруженная уязвимость носит характер DoS (отказ в обслуживании).

iSQL*Plus требует от пользователя до обработки запроса произвести вход в систему. После доступа к URL по умолчанию от имени пользователя "/isqlplus" предоставляется экран авторизации. При посылке веб-серверу слишком длинного параметра ID пользователя происходит переполнение внутреннего буфера на стеке с перезаписью сохраненного адреса возврата в программу. Это может позволить удаленному злоумышленнику запустить произвольный код в контексте безопасности веб-сервера (пользователь "SYSTEM" в Win-системах или пользователь "oracle" в других ОС). Взломанный таким образом веб-сервер может в дальнейшем использоваться для проведения атак на сервер базы данных.