Structured Query Language Injection Penetration Test Case Generation Based on Formal Description

Aiming to improve the Structured Query Language( SQL) injection penetration test accuracy through the formalismguided test case generation,an attack purpose based attack tree model of SQL injection is proposed,and then under the guidance of this model, the formal descriptions for the SQL injection vulnerability feature and SQL injection attack inputs are established. Moreover,according to new coverage criteria,these models are instantiated and the executable test cases are generated.Experiments show that compared with the random enumerated test case used in other works,the test case generated by our method can detect the SQL injection vulnerability more effectively. Therefore,the false negative is reduced and the test accuracy is improved.

Application of Recursive Query on Structured Query Language Server

The advantage of recursive programming is that it is very easy to write and it only requires very few lines of code if done correctly.Structured query language(SQL)is a database language and is used to manipulate data.In Microsoft SQL Server 2000,recursive queries are implemented to retrieve data which is presented in a hierarchical format,but this way has its disadvantages.Common table expression(CTE)construction introduced in Microsoft SQL Server 2005 provides the significant advantage of being able to reference itself to create a recursive CTE.Hierarchical data structures,organizational charts and other parent-child table relationship reports can easily benefit from the use of recursive CTEs.The recursive query is illustrated and implemented on some simple hierarchical data.In addition,one business case study is brought forward and the solution using recursive query based on CTE is shown.At the same time,stored procedures are programmed to do the recursion in SQL.Test results show that recursive queries based on CTEs bring us the chance to create much more complex queries while retaining a much simpler syntax.

Query Languages for Temporal Database

In this paper, an interval-gap-based 1NF temporal tuple calculus language and the corresponding temporal relation algebra are established on the basis of considering the trouble of stack operations in both S. Gadia’s TCAL and temporal tuple calculus due to their NINF.

SQL Server 2005中的XQuery应用研究

XQuery是一种用于从XML文档中获取数据的查询语言,是W3C组织于2007年发布的推荐标准。其在XML格式数据中的作用,类似于标准SQL语言在关系数据库中的作用。XQuery功能强大,得到XML原生数据库以及支持XML的关系数据库的支持。对全面支持XML技术的SQL Server 2005数据库中XQuery语言的实现与应用进行研究,探讨了SQL Server 2005中实现XML数据查询的机制及其特点,分析了在SQL Server 2005中XQuery语言的运用,特别讨论了在SQL Server 2005中对XQuery标准所做的扩展,即其通过XQuery实现对XML文档中元素的操作,并通过具体示例阐明了SQL Server 2005中XQuery标准及其功能扩展的实现。

基于依存关系图注意力网络的SQL生成方法

研究基于自然语言问题的结构化查询语言(SQL)生成问题(Text-to-SQL).提出两阶段框架,旨在解耦模式链接和SQL生成过程,降低SQL生成的难度.第1阶段通过基于关系图注意力网络的模式链接器识别问题中提及的数据库表、列和值,利用问题的语法结构和数据库模式项之间的内部关系,指导模型学习问题与数据库的对齐关系.构建问题图时,针对Text-to-SQL任务的特点,在原始句法依存树的基础上,合并与模式链接无关的关系,添加并列结构中的从属词与句中其他成分间的依存关系,帮助模型捕获长距离依赖关系.第2阶段进行SQL生成,将对齐信息注入T5的编码器,对T5进行微调.在Spider、Spider-DK和Spider-Syn数据集上进行实验,实验结果显示,该方法具有良好的性能,尤其是对中等难度以上的Text-to-SQL问题具有良好的表现.

SQL-to-text模型的组合泛化能力评估方法

数据库的结构化查询语言(SQL)到自然语言的翻译(SQL-to-text)能提高关系数据库的易用性。近年来该领域主要使用机器学习的方法进行研究并已取得一定进展,然而现有翻译模型的能力仍不足以投入实际应用。由于组合泛化能力是SQL-to-text模型在实际应用中提升翻译效果的必要能力,且目前缺少对此类模型组合泛化能力的研究,因此提出一种SQL-to-text模型的组合泛化能力评估方法。基于现有的SQL-to-text数据集生成大量SQL和对应的自然语言翻译(SQL-自然语言对),并按SQL-自然语言对所含SQL子句的个数将其划分为训练数据与测试数据,使测试数据中的SQL子句皆以不同的组合方式在训练数据中出现,从而得到可评估模型组合泛化能力的新数据集。评估结果表明,该方法对查询知识的使用程度较高,划分数据的方式更加合理,所得数据集符合评估组合泛化能力的需求且贴近模型的实际应用场景,受到原始数据集的限制程度更低,并证实现有模型的组合泛化能力仍需提升,其中针对SQL-to-text任务设计的关系感知图转换器模型组合泛化能力最弱,表明原有的SQL-to-text数据集对组合泛化能力的考察存在欠缺。

基于语义增强模式链接的Text-to-SQL模型

为优化基于异构图编码器的Text-to-SQL生成效果,提出SELSQL模型。首先,模型采用端到端的学习框架,使用双曲空间下的庞加莱距离度量替代欧氏距离度量,以此优化使用探针技术从预训练语言模型中构建的语义增强的模式链接图;其次,利用K头加权的余弦相似度以及图正则化方法学习相似度度量图使得初始模式链接图在训练中迭代优化;最后,使用改良的关系图注意力网络(RGAT)图编码器以及多头注意力机制对两个模块的联合语义模式链接图进行编码,并且使用基于语法的神经语义解码器和预定义的结构化语言进行结构化查询语言(SQL)语句解码。在Spider数据集上的实验结果表明,使用ELECTRA-large预训练模型时,SELSQL模型比最佳基线模型的准确率提升了2.5个百分点,对于复杂SQL语句生成的提升效果很大。

SQL语言在数据库实践课程中的应用

本文介绍了SQL语言的主要含义,给出了SQL语言在数据库实践课程中的一些应用,如查询单表的某公司职员综合信息表、多表的某高校十一人制男子组足球比赛赛事数据分析表,依托这些实例从基础的单表查询操作到能够进行多表之间的数据查询分析,掌握SQL语言的SELECT功能及其有关查询关键字的用法。

SQL注入漏洞多等级检测方法研究

在深入分析SQL(structured query language)注入攻击特点、攻击方式及SQL注入漏洞相关防御机制的基础上,依据防御度的高低对SQL注入漏洞进行分级。将漏洞分级作为SQL注入模糊测试用例等价类划分的依据,对SQL注入参数进行优化选择后,模拟黑客攻击的方式主动地、有针对性地进行检测。SQL注入参数的等价类划分保证了模糊测试过程的完备性和无冗余性。

区间约束数据库查询语言:ISQL

区间约束数据库可以统一处理空间和非空间数据，它基于关系数据库，增加了对区间约束数据的支持．为了管理区间约束数据，在这个模型基础上，提出了一个区间约束数据库语言ISQL．ISQL完全保留了数据库中非空间数据的SQL查询能力，同时集成了对空间数据的管理．定义了ISQL的语法和语义，它扩充了SQL2的语法和语义，增加了对区间约束数据的查询．通过嵌套查询、并差查询、插入、删除、更新等情形，给出了相应的实例和说明．最后讨论了ISQL语言的封闭性．

模型驱动的Web应用SQL注入渗透测试

针对结构化查询语言（SQL）注入渗透测试用例不充分造成测试漏报的问题，对基于形式化建模生成渗透测试用例问题进行了研究，提出了以下方法：将SQL注入漏洞渗透测试用例生成分为两步：第1步建立渗透测试用例的形式化模型，以用例模型更全面、有规律地描述当前各种SQL注入攻击的方法模式，指导生成更多种类的用例输入；第2步提出若干新的SQL注入漏洞渗透测试用例覆盖度准则，将用例模型实例化、生成覆盖更多样式的用例输入。实验表明，用上述方法生成的用例，优于当前其它研究中使用的随机枚举用例，可更有效地测出隐藏于Web应用不足防御措施之后的SQL注入漏洞，从而降低渗透测试结果的漏报。

空间结构化查询语言——G/SQL

传统的地理信息系统对空间数据的处理是过程化的，并且不能将空间数据作为一个整体来对待。这种处理方法限制了空间数据应用的发展。空间结构化查询语言扩展了关系数据库的ＳＱＬ语言，朝着结构化的空间数据统一处理迈出了重要的一步。该文讨论了空间结构化查询语言的理论，在ＯＧＩＳ的概念和数据模型之上，提出了一套创新的地理数据模型，采用统一的方法存储和管理空间数据库中的属性数据和几何数据。根据这个模型，实现了一种空间结构化查询语言——Ｇ／ＳＱＬ。Ｇ／ＳＱＬ通过研究地物关系的９－交叉模型确定面向空间数据的扩充的空间算子，为应用程序提供空间拓扑关系谓词和空间函数。应用Ｇ／ＳＱＬ成功地开发了一个基于Ｗｅｂ 的地理信息应用系统ＷｅｂＧＩＳ。实践表明，Ｇ／ＳＱＬ提供的空间关系谓词和空间函数完备而且易于使用。还给出了Ｇ／ＳＱＬ语法的ＢＮＦ表示。

二阶SQL注入攻击防御模型

随着互联网技术的快速发展,Web应用程序的使用也日趋广泛,其中基于数据库的Web应用程序己经广泛用于企业的各种业务系统中。然而由于开发人员水平和经验参差不齐,使得Web应用程序存在大量安全隐患。影响Web应用程序安全的因素有很多,其中SQL注入攻击是最常见且最易于实施的攻击,且SQL注入攻击被认为是危害最广的。因此,做好SQL注入攻击的防范工作对于保证Web应用程序的安全十分关键,如何更有效地防御SQL注入攻击成为重要的研究课题。SQL注入攻击利用结构化查询语言的语法进行攻击。传统的SQL注入攻击防御模型是从用户输入过滤和SQL语句语法比较的角度进行防御,当数据库中的恶意数据被拼接到动态SQL语句时,就会导致二阶SQL注入攻击。文章在前人研究的基础上提出了一种基于改进参数化的二阶SQL注入攻击防御模型。该模型主要包括输入过滤模块、索引替换模块、语法比较模块和参数化替换模块。实验表明,该模型对于二阶SQL注入攻击具有很好的防御能力。

支持栅格数据的GSQL扩展研究

空间数据库已经成为实现海量空间数据管理的高效手段,在空间数据库设计和实现中,定义GSQL是其关键。目前,针对于矢量数据访问已经有许多学者进行了研究,但对于地理栅格数据,其访问和操作接口却尚无相关规范,为此参考OpenGIS○R,对该方面进行了研究,即首先定义了与栅格相关的抽象数据类型,其分别为Pixel(栅格点)、RasterRegion(栅格区域)、RasterCoverage(栅格覆盖),它们之间存在聚合关系;然后对每种数据类型进行了定义,包括其数据对象以及相关操作;进而,基于上述抽象数据类型,给出了支持栅格数据访问的GSQL R描述以及相关实例。通过实例表明,GSQL-R能较好支持矢量/栅格一体化的数据访问和操作。

GIS中文查询系统中SQL语句的形成

由于GIS中文查询语句与SQL语句相差很大,直接转化非常困难,所以需要有某种中间逻辑形式语言。本文首先分析了查询语句的句型和基于此句型的栈式中间语言结构,然后重点研究了这种中间语言到SQL语句的转换。在此对SQL语句的结构中的查询条件段、查询目标段、分组段的判断策略进行了研究,难点在于嵌套结构的判断,在此借助中间关系进行转换,系统设计了相应的转换算法,并对算法进行了测试,测试表明系统所提出的转换策略和算法对大多数查询语句能转换为相应的SQL语句,为该课题的进一步研究奠定了基础。

基于Web工程数据库的SQL语言系统的设计与实现

以工程数据库管理系统EDBMS为基础,结合Web特点,论述了基于Web的工程数据库的SQL语言系统实现中的一些问题。同时,针对实际需求,提出了一种以逻辑分层为基础的系统开发模式——虚拟机模式,并利用此模式设计实现了基于Web的工程数据库管理系统EDBMS的SQL语言系统。由于采用可移动代码系统的集成方式和Java语言开发,因此该系统具有较大的灵活性、扩充性、可移植性和健壮性。

基于GT数据模型的类SQL查询语言

本文给出了一个时态数据库模型GT。为了实现时态数据库管理系统,除了数据模型之外,还需要有一个时态数据库的查询语言。GTSQL便是我们提出的一个时态查询语言。本文给出了GTSQL的主要语法。

基于语义查询树的GIS中文查询语句向SQL的转换

提出了语义查询树的中间语言结构,设计了查询语句向语义查询树的转换算法。为了解决嵌套结构转换的难点,引进了查询块的概念,实现了查询块向SQL语句转换的算法,并将此转换方法与以前的方法进行了比较。实验表明,本文方法是一种比较理想的中文查询语句的理解方法。

功能完全的XML数据查询语言X-SQL

针对已有XML查询语言的不足,提出一种新的XML数据查询语言X-SQL.X-SQL具有类似于SQL语言的Select-From-Path-W here结构、具有路径表达式查询能力和同时从多个数据源选取数据的能力,支持数据更新操作和查询结果的语义描述.

一种基于SQL变换的分布式空间查询优化算法

基于新一代GIS技术体系的空间数据的分布特点,提出了一种新的应用于分布式空间查询处理的混合启发式优化算法（HHOA）。该算法参考了传统的基于关系代数变换的启发式优化算法,同时为了克服单调采用直接连接或者半连接的弊端,引入了直接连接和半连接相混合的策略,实现更高的查询执行效率。实例研究表明,尤其是在涉及空间连接的查询前提下,该算法能够有效支持分布式空间查询的处理。