PHP入门

经常看见有人问，MSSQL占用了太多的内存，而且还不断的增长；或者说已经设置了使用内存，可是它没有用到那么多，这是怎么一回事儿呢？
首先，我们来看看MSSQL是怎样使用内存的。
最大的开销一般是用于数据缓存，如果内存足够，它会把用过的数据和觉得你会用到的数据统统扔到内存中，直到内存不足的时候，才把命中率低的数据给清掉。所以一般我们在看statistics io的时候，看到的physics read都是0。
其次就是查询的开销，一般地说，hash join是会带来比较大的内存开销的，而merge join和nested loop的开销比较小，还有排序和中间表、游标也是会有比较大的开销的。
所以用于关联和排序的列上一般需要有索引。
再其次就是对执行计划、系统数据的存储，这些都是比较小的。
　
我们先来看数据缓存对性能的影响，如果系统中没有其它应用程序来争夺内存，数据缓存一般是越多越好，甚至有些时候我们会强行把一些数据pin在高速缓存中。但是如果有其它应用程序，虽然在需要的时候MSSQL会释放内存，但是线程切换、IO等待这些工作也是需要时间的，所以就会造成性能的降低。这样我们就必须设置MSSQL的最大内存使用。可以在SQL Server 属性（内存选项卡）中找到配置最大使用内存的地方，或者也可以使用sp_configure来完成。如果没有其它应用程序，那么就不要限制MSSQL对内存的使用。
然后来看查询的开销，这个开销显然是越低越好，因为我们不能从中得到好处，相反，使用了越多的内存多半意味着查询速度的降低。所以我们一般要避免中间表和游标的使用，在经常作关联和排序的列上建立索引。
　

首先说明一下,下面描述仅限于Win系统 其它系统我没试过,Mysql 自从4.1.1以后修改了用户密码的格式, 从16位增加到了41位, 采用了一种新的验证方法,但4.1以前的客户端协议不支持这种方法,所以造成了不能登临的后果.即使密码正确了不能正常登录,提示如下:
　　#1250 - Client does not support authentication protocol requested by server; consider upgrading MySQL client
　　
　　在窗口中执行:
　　C:mysqlin>mysql -uroot
　　Welcome to the MySQL monitor.　Commands end with ; or g.
　　Your MySQL connection id is 1 to server version: 5.0.0-alpha-nt
　　
　　Type 'help;' or 'h' for help. Type 'c' to clear the buffer.
　　
　　mysql> select password('aa');
　　+-------------------------------------------+
　　| password('aa')　　　　　　　　　　　　　　|
　　+-------------------------------------------+
　　| *DEE59C300700AF9B586F9F2A702231C0AC373A13 |
　　+-------------------------------------------+
　　1 row in set (0.00 sec)
　　
　　mysql>
　　从上可以看出password的结果返回了一个以'*'号开头的41位字符串,而以前是16位的.
　　
　　Mysql官方网站给出了二种解决方法
　　
　　1,使用新的客户端api,
　　2,强制服务器使用旧的密码方案
　　
　　我首先尝试了第一种方法,从mysql5.0中拷贝libmysql.dll到php 的扩展目录中,替代了php本身附带的libmysql.dll, 但结果令人失望. Php提示装入php_mysql.dll失败:PHP Warning:　PHP Startup: Unable to load dynamic library 'c:/php5/ext/php_mysql.dll' - 找不到指定的程序。后来发现新版的dll中缺少了mysql_drop_db() 这一函数 :( 只有等php或mysql出更新的dll了.
　　
　　第一种方法行不通,只有试试第二种方法,mysql的官方FAQ中说,需要加上-old-password这一参数,我首先尝试 在命令行下起动mysql,
　　c:mysqlin>mysqld-nt -old-password
　　
　　在另一窗口中 运行
　　C:mysqlin>mysql -uroot
　　Welcome to the MySQL monitor.　Commands end with ; or g.
　　Your MySQL connection id is 540 to server version: 5.0.0-alpha-nt

以前在群里讨论过这个问题,比较的有意思.mysql的语法真好玩.他们原来都想用PHP的实现随机,但取出多条好像要进行两次以上查询.翻了手册,找到了下面这个语句,可以完成任务了。
SELECT * FROM table_name ORDER BY rand() LIMIT 5;
　　rand在手册里是这么说的:
　　RAND()
　　RAND(N)
　　返回在范围0到1.0内的随机浮点值。如果一个整数参数N被指定，它被用作种子值。
　
mysql> select RAND();
-> 0.5925
mysql> select RAND(20);
-> 0.1811
mysql> select RAND(20);
-> 0.1811
mysql> select RAND();
-> 0.2079
mysql> select RAND();
-> 0.7888
　　你不能在一个ORDER BY子句用RAND()值使用列，因为ORDER BY将重复计算列多次。然而在MySQL3.23中，你可以做： SELECT * FROM table_name ORDER BY RAND()，这是有利于得到一个来自SELECT * FROM table1,table2 WHERE a=b AND c<d ORDER BY RAND() LIMIT 1000的集合的随机样本。注意在一个WHERE子句里的一个RAND()将在每次WHERE被执行时重新评估。
　
　　但我试了一下,8千条记录的表,执行一次需要0.08 sec,.慢了些
　　后来请教了google,得到如下代码
SELECT *
FROM table_name AS r1 JOIN
(SELECT ROUND(RAND() *
(SELECT MAX(id)
FROM table_name)) AS id)
AS r2
WHERE r1.id >= r2.id
ORDER BY r1.id ASC
LIMIT 5;
　　执行效率需要0.02 sec.可惜的是,只有mysql 4.1.*以上才支持这样的子查询.

连接查询
通过连接运算符可以实现多个表查询。连接是关系数据库模型的主要特点，也是它区别于其它类型数据库管理系统的一个标志。
在关系数据库管理系统中，表建立时各数据之间的关系不必确定，常把一个实体的所有信息存放在一个表中。当检索数据时，通过连接操作查询出存放在多个表中的不同实体的信息。连接操作给用户带来很大的灵活性，他们可以在任何时候增加新的数据类型。为不同实体创建新的表，尔后通过连接进行查询。
连接可以在SELECT 语句的FROM子句或WHERE子句中建立，似是而非在FROM子句中指出连接时有助于将连接操作与WHERE子句中的搜索条件区分开来。所以，在Transact-SQL中推荐使用这种方法。
SQL-92标准所定义的FROM子句的连接语法格式为：
FROM join_table join_type join_table
[ON (join_condition)]
其中join_table指出参与连接操作的表名，连接可以对同一个表操作，也可以对多表操作，对同一个表操作的连接又称做自连接。
join_type 指出连接类型，可分为三种：内连接、外连接和交叉连接。内连接(INNER JOIN)使用比较运算符进行表间某(些)列数据的比较操作，并列出这些表中与连接条件相匹配的数据行。根据所使用的比较方式不同，内连接又分为等值连接、自然连接和不等连接三种。
外连接分为左外连接(LEFT OUTER JOIN或LEFT JOIN)、右外连接(RIGHT OUTER JOIN或RIGHT JOIN)和全外连接(FULL OUTER JOIN或FULL JOIN)三种。与内连接不同的是，外连接不只列出与连接条件相匹配的行，而是列出左表(左外连接时)、右表(右外连接时)或两个表(全外连接时)中所有符合搜索条件的数据行。
交叉连接(CROSS JOIN)没有WHERE 子句，它返回连接表中所有数据行的笛卡尔积，其结果集合中的数据行数等于第一个表中符合查询条件的数据行数乘以第二个表中符合查询条件的数据行数。
连接操作中的ON (join_condition) 子句指出连接条件，它由被连接表中的列和比较运算符、逻辑运算符等构成。
无论哪种连接都不能对text、ntext和image数据类型列进行直接连接，但可以对这三种列进行间接连接。例如：
SELECT p1.pub_id,p2.pub_id,p1.pr_info
FROM pub_info AS p1 INNER JOIN pub_info AS p2
ON DATALENGTH(p1.pr_info)=DATALENGTH(p2.pr_info)
(一)内连接
内连接查询操作列出与连接条件匹配的数据行，它使用比较运算符比较被连接列的列值。内连接分三种：
1、等值连接：在连接条件中使用等于号(=)运算符比较被连接列的列值，其查询结果中列出被连接表中的所有列，包括其中的重复列。

本文出自:OHaHa的学习心得[ohaha.ks.edu.tw] 作者：蓝色泡泡(panda@ks.edu.tw)
前言：
所谓的phpMyAdmin简单的说就是一种MySQL的管理工具。
　
透过此一程式，可以直接从web上去管理MySQL，不需要到系统上去执行。
　
安装步骤：
1.取得档案ftp://ohaha.ks.edu.tw/pub/source/php/phpMyAdmin_2.0.5.tar.gz或是ftp://ohaha.ks.edu.tw/pub/source/php/c_phpMyAdmin_2.0.5.tar.gz
其中唯一的差别是在於後者不需要再做中文最佳化的动作。
　
所谓的中文最佳化乃是因为此程式的翻译者可能是大陆的..所以翻译不佳
若你觉得没有关的话，也可以忽略它。
　
2.我们先采用前者然後再加上中文最佳化。
　
3.将此档解压缩到web伺服器的文件根目录
说明白些也就是你放置网页的地方啦
ex:/usr/local/apache/htdocs/ (这是我网页存放的位置)
a. # mv phpMyAdmin_2.0.5.tar.gz /usr/local/apache/htdocs/ 移到文件的根目录
b. # tar zxvf phpMyAdmin_2.0.5.tar.gz 解压缩phpMyAdmin_2.0.5.tar.gz
c. 路径 /usr/local/apache/htdocs/phpMyAdmin
d. 修改设定档
# vi config.inc.php3
找到下面的部分
$cfgServers[1]['host'] = 'localhost'; // MySQL 的hostname
$cfgServers[1]['port'] = ''; // MySQL 的port 空白表示预设3306
$cfgServers[1]['adv_auth'] = true; // 是否采用进阶功能
$cfgServers[1]['stduser'] = 'root'; // MySQL的管理者
$cfgServers[1]['stdpass'] = '123456'; // MySQL管理者的密码
//我采用root为管理者,密码为123456 你可以采用自己喜欢的
4.测试
开启浏览器，输入http://的网址/phpMyAdmin/
done ...
中文最佳化
若你一刚使用的档案是c_phpMyAdmin_2.0.5.tar.gz则没有中文问题的困扰
若你是照我的步骤来做的话请取得中文最佳化档(ftp://ohaha.ks.edu.tw/pub/source/php/chinese_big5.inc.php3)
将此档放入的phpMyAdmin的目录之中 他会取代chinese_big5.inc.php3此档
若你觉得不太保险的话 你可以先将原有的chinese_big5.inc.php3更名然後将新档案放入
a. mv chinese_big5.inc.php3 chinese_big5.inc.php3.old
// 更名为chinese_big5.inc.php3.old
b. mv chinese_big5.inc.php3 /usr/local/apache/htdocs/phpMyAdmin/

有时候我们希望在一个sqlserver下访问另一个sqlserver数据库上的数据，或者访问其他oracle数据库上的数据，要想完成这些操作，我们首要的是创建数据库链接。
　　数据库链接能够让本地的一个sqlserver登录用户映射到远程的一个数据库服务器上，并且像操作本地数据库一样。那么怎么创建数据库链接呢？我现在有两种方法可以实现。
　　第一种：在　sqlserver　企业管理器中，建立，这个比较简单的，首先在　安全性－－〉数据库链接　上点右键　，在出现的菜单中点　新建数据库链接　，然后会弹出一个界面，需要我们填写的有：链接服务器（这是一个名字，自己根据情况自行定义，以后就要通过他进行远程访问了），提供程序名称（这个就是选择数据驱动，根据数据库类型来选择，不能乱选，否则链接不上的），数据源（对于sqlserver就是远程数据库服务器的主机名或者IP,对于 oracle　就是在 oracle net config 中配置的别名），安全上下文用户和口令（也就是远程服务器的用户和口令）。
　　第二种：利用系统存储过程
　　创建一个sqlserver对sqlserver的数据库链接：
exec sp_addlinkedserver 'link_northsnow','','SQLOLEDB','远程服务器主机名或域名或ip地址'
exec sp_addlinkedsrvlogin 'link_northsnow','false',null,'用户名','用户口令'
　　创建一个sqlserver对Oracle的数据库链接：
exec sp_addlinkedserver 'link_ora', 'Oracle', 'MSDAORA', 'oracle数据库服务器别名'
exec sp_addlinkedsrvlogin 'link_ora', false, 'sa', '用户名', '用户口令'
　　有了数据库链接我们就可以使用了。对于sqlserver和oracle中的使用方法是有区别的。
　　对于sqlserver：
create view v_lhsy_user as select * from link_northsnow.lhsy.dbo.sys_user
select * from v_lhsy_user
其中lhsy为远程的数据库名
sys_user为表名
　　对于 oracle：
create view vvv as select * from link_ora..NORTHSNOW.SYS_USER
select * from vvv;
其中northsnow为远程oracle数据库服务器的一个用户名，SYS_USER为该用户在该服务器上的一个表，要非常注意的是：数据库链接（link_ora）后面有两个点（..），再往后面必须全部大写，查询的对象一般为表格或者视图，不能查询同义词。
　　要想删除数据库链接，也有两种方法，
　　一种是在企业管理器中操作，这个简单。
　　另一种是用系统存储过程：
　　exec sp_dropserver 数据库链接名称,'droplogins'
　　终于写完了，感兴趣的请留言　或　email me:northsnow@163.com

联合查询
UNION运算符可以将两个或两个以上上SELECT语句的查询结果集合合并成一个结果集合显示，即执行联合查询。UNION的语法格式为：
select_statement
UNION [ALL] selectstatement
[UNION [ALL] selectstatement][…n]
其中selectstatement为待联合的SELECT查询语句。
ALL选项表示将所有行合并到结果集合中。不指定该项时，被联合查询结果集合中的重复行将只保留一行。
联合查询时，查询结果的列标题为第一个查询语句的列标题。因此，要定义列标题必须在第一个查询语句中定义。要对联合查询结果排序时，也必须使用第一查询语句中的列名、列标题或者列序号。
在使用UNION 运算符时，应保证每个联合查询语句的选择列表中有相同数量的表达式，并且每个查询选择表达式应具有相同的数据类型，或是可以自动将它们转换为相同的数据类型。在自动转换时，对于数值类型，系统将低精度的数据类型转换为高精度的数据类型。
在包括多个查询的UNION语句中，其执行顺序是自左至右，使用括号可以改变这一执行顺序。例如：
查询1 UNION (查询2 UNION 查询3)
原作者：不详
来源：MSSQL设计实务

Q. How can I restrict access to my SQL Server so that it only allows certain machines to connect?
(v1.0 19.10.1998)
怎样才能限制我的SQL Server只能让指定的机器连接
A. SQL Server has no built-in tools/facilities to do this. It also does not have the facility to run a stored-procedure on connection that could be written/used to do this. Therefore you have the following choices :-
     SQL Server没有这样的功能，也没有提供在连接时执行某一特定过程的功能。这里介绍几种实现的方法
1. Put the SQL Server behind a firewall and use that to restrict access. This is the most secure and functional way to do what you want.
    使用防火墙，它提供了安全和你想用的工具。
2. Write your own ODS Gateway and point the clients at that instead of the SQL Server - the ODS Gateway will then do the checking. However, there is nothing stopping clients figuring out the correct SQL client-config entries to point straight at the SQL Server. There are examples of ODS code in the SQL Programmers Toolkit - available for free download from the MS website.
    写自己的ODS网关代替SQL Server的客户端 - 在ODS网关中检查。不过，这并不能停止正常的客户端连接SQL Server。在SQL Programmers Toolkit中有一个这样的例， 可以从微软站点免费下载。
3. Write a constantly running/scheduled stored-procedure that checks the relevant column in sysprocesses (net_address), and then issues a KILL command for any processes that should not be running. Note that this only works for MAC addresses. This way allows people to connect and possibly make changes before they are spotted and killed.
    写一个存储过程检查sysprocesses中的相应列（net_address）
　

目的： 一台Redhat linux 6.2 用为防火墙，专线连结Chinanet,对内连结
    局域网段192.168.11.0/24,需要enable PHP4和Mysql数据库，且局域网
        上有另一台Apache服务器192.168.11.2，需要对外部用户提供服务，利用
        防火墙上编译的Apache反向代理和名字虚拟主机的功能来实现
地址: 防火墙外部地址为a.b.c.210,且别名第二个地址为a.b.c.211,内部网卡
        地址为192.168.11.5,内部LAN上的Apache服务器为192.168.11.2
实现：
1.下载三个源文件到防火墙机器的/tmp下
apache_1.3.12.tar.gz
mysql-3.22.32.tar.gz    
php-4.0.1pl2.tar.gz
2. 在/tmp下分别解开三个文件
# tar xvfz apache*gz
# tar xvfz mysql*gz
# tar xvfz php*gz
3. 进入/tmp/mysql*,编译mysql
#./configure --prefix=/usr/local/mysql
#make
#make install
#scripts/mysql_install_db
#/usr/local/mysql/bin/safe_mysqld &
#/usr/local/mysql/bin/mysqladm -u root password newpassword
4. 进入/tmp/php*,编译PHP4
#./configure --with-mysql --with-apache=../apche_1.3.12
        --enable-track-vars
#make;make install
5. 下载反向代理X-forward-for模块，地址是
http://perl.apache.org/guide/download.html#mod_proxy_add_forward
下载后放该文件mod_proxy_add_forward.c到/tmp/apache_1.3.12/src/modules/
extra/目录下
5.编译Apache，加入PHP4模块 和大多数共享模块库
./configure --prefix=/usr/local/apache
--activate-module=src/modules/php4/libphp4.a
--activate-module=src/modules/extra/mod_proxy_add_forward.c
--enable-module=most --enable-shared=max
6. 拷贝php.ini-dist到其它目录
# cd /tmp/php*
# cp php.ini-dist /usr/local/lib/php.ini
7.编辑/usr/local/apache/conf/httpd.conf中的AddType行
AddType application/x-httpd-php4 .php
8. 编辑/usr/local/apache/conf/httpd.conf中的AddModule行，

mysql让存储结果分页，用于复杂查询。

似乎讨论分页的人很少，难道大家都沉迷于limit m,n?
在有索引的情况下，limit m,n速度足够，可是在复杂条件搜索时，
where somthing order by somefield+somefield
mysql会搜遍数据库，找出“所有”符合条件的记录，然后取出m,n条记录。
如果你的数据量有几十万条，用户又搜索一些很通俗的词，
然后要依次读最后几页重温旧梦。。。mysql该很悲壮的不停操作硬盘。

所以，可以试着让mysql也存储分页，当然要程序配合。
（这里只是提出一个设想，欢迎大家一起讨论）

ASP的分页：在ASP系统中有Recordset对象来实现分页，但是大量数据放在内存中，而且不知道什么时候才失效(请ASP高手指点).
SQL数据库分页：用存储过程+游标方式分页，具体实现原理不是很清楚，设想如果用一次查询就得到需要的结果，或者是id集，需要后续页时只要按照结果中的IDs读出相关记录。这样只要很小的空间保留本次查询的所有IDs. (SQL中的查询结果不知道怎样清楚过期垃圾?)

这样，可以让mysql模拟存储分页机制：
1. select id from $table where $condition order by $field limit $max_pages*$count;
     查询符合条件的IDs.
     限定最大符合条件的记录数量，也可以不加。
2. 因为php在执行结束后所有变量都要lost，所以可以考虑:
     方案a. 在mysql建立临时表，查询结果用一个时间或随机数作为唯一标志插入。
      其中建立page1~pagen个字段，每个字段保存该页中需要的ids, 这样一个id对一条记录.
     方案b. 如果打开session,也可以放在session中保存，实际上是放在文件中保存。
         建立一个$IDs数组，$IDs[1]~$IDs[$max_pages]. 考虑到有时候用户会开几个
         窗口同时查询，要为$ids做一个唯一标志，避免查询结果相互覆盖。二维数组
         和$$var都是好办法。
3. 在每页页的请求中，直接找到对应的IDs，中间以","间隔：
      select * from $table where id in ($ids); 速度绝对快

mysql可通过两种方式通过PHP与web相连，一种通过php的mysql相关函数，另一种通过php的ODBC相关函数

SQL注入是什么？
许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码（一般是在浏览器地址栏进行,通过正常的www端口访问），根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。　
SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。
　　防御SQL注入有妙法
　　第一步：很多新手从网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用来防止别人进行手动注入测试。
　　可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟，你的管理员账号及密码就会被分析出来。
　　第二步：对于注入分析器的防范，笔者通过实验，发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中，发现软件并不是冲着“admin”管理员账号去的，而是冲着权限（如flag=1）去的。这样一来，无论你的管理员账号怎么变都无法逃过检测。
　　第三步：既然无法逃过检测，那我们就做两个账号，一个是普通的管理员账号，一个是防止注入的账号，为什么这么说呢？笔者想，如果找一个权限最大的账号制造假象，吸引软件的检测，而这个账号里的内容是大于千字以上的中文字符，就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。
　　1.对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255（其实也够了，如果还想做得再大点，可以选择备注型），密码的字段也进行相同设置。
　　2.对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符（最好大于100个字）。
　　3.把真正的管理员密码放在ID2后的任何一个位置（如放在ID549上）。
　　我们通过上面的三步完成了对数据库的修改。
　　这时是不是修改结束了呢？其实不然，要明白你做的ID1账号其实也是真正有权限的账号，现在计算机处理速度那么快，要是遇上个一定要将它算出来的软件，这也是不安全的。我想这时大多数人已经想到了办法，对，只要在管理员登录的页面文件中写入字符限制就行了！就算对方使用这个有上千字符的账号密码也会被挡住的，而真正的密码则可以不受限制。