Ch5_ 实验指导手册.pdfVIP

Ch5 Advanced SQL 实验手册 ( 内部资料 请勿外传) 郝 鹃 2015/2/13 实验内容 实验一 Accessing SQL From a Programming Language 实验二 Functions and Procedures 实验三 Triggers 实验一 Accessing SQL From a Programming Language 【实验目的】 了解使用动态SQL 访问数据库的一般步骤。 【实验环境】 1.配置好University 数据库； 2.建立st1 登陆账号，使用sql server 身份验证方式； 3.把该账号添加为University 数据库的数据库用户。 【实验内容】 1. Exp5_1 登录程序, Exp5_2 了解使用ADO.NET 访问数据库的步骤； 2. SQL 注入攻击问题。 【实验指导】 1.教师演示系统的配置和运行。 2.学生运行Exp5_1, Exp5_2 了解使用ADO.NET 访问数据库的步骤。 3. SQL 注入攻击：运行程序Exp5_3SQL 注入攻击 1） 在instructor 表中建立一个新属性pwd(char,10)，然后打开表，修 改其中name=’wu’ 的老师的pwd 为‘111’； 2 ） 运行程序Exp5_3SQL 注入攻击； 3 ） 在登录界面的用户名和密码中输入Wu 和111，能够成功登录； 实际执行语句为： Select * from instructor where name=’Wu’ and Pwd=’111’; 4) 在登录界面的用户名和密码中输入1 or ‘ 1 =‘ 1，也能够成功登录； 实际执行语句为： select * from instructor where name =1 or 1=1 and Pwd =1 or 1=1; 5 ）在University 数据库中建立表ss,然后在登录窗体的 用户名输入： 1‘ or ‘ 1 ’=‘ 1 密码框输入：1‘ or ‘ 1 ’=‘ 1’；drop table ss-- 实际执行： select * from instructor where name =1 or 1=1 and Pwd =1 or 1=1; drop table ss --’” 执行后，非法登录且ss 表被删除； 实验二 Functions and Procedures 【实验目的】 了解用户自定义函数的创建和使用； 了解存储过程的创建和使用。 【实验环境】 Sql server 2012 ； 配置好University 数据库。 【实验内容】 5.2 节中的例题。 【实验指导】 --5.2 自定义函数 --1.返回单个查询值的函数是标量值函数 --定义函数.功能:给定一个系的名字,返回该系的教师人数 create Function dept_count(@dept_name varchar(20)) returns int /*返回值类型*/ as begin declare @d_count int /*声明参数*/ select @d_count=count(*) f