阳光男孩

对于程序开发人员而言，目前使用最流行的两种后台数据库即为MySQL and SQL Server。这两者最基本的相似之处在于数据存储和属于查询系统。你可以使用SQL来访问这两种数据库的数据，因为它们都支持ANSI-SQL。还有，这两种数据库系统都支持二进制关键词和关键索引，这就大大地加快了查询速度。同时，二者也都提供支持XML的各种格式。

除了在显而易见的软件价格上的区别之外，这两个产品还有什么明显的区别吗？在这二者之间你是如何选择的？让我们看看这两个产品的主要的不同之处，包括发行费用，性能以及它们的安全性。

根本的区别是它们遵循的基本原则

二者所遵循的基本原则是它们的主要区别：开放vs保守。SQL服务器的狭隘的，保守的存储引擎与MySQL服务器的可扩展，开放的存储引擎绝然不同。虽然你可以使用SQL服务器的Sybase引擎，但MySQL能够提供更多种的选择，如MyISAM, Heap, InnoDB, and Berkeley DB。MySQL不完全支持陌生的关键词，所以它比SQL服务器要少一些相关的数据库。同时，MySQL也缺乏一些存储程序的功能，比如MyISAM引擎联支持交换功能。

发行费用：MySQL不全是免费，但很便宜

当提及发行的费用，这两个产品采用两种绝然不同的决策。对于SQL服务器，获取一个免费的开发费用最常的方式是购买微软的Office或者Visual Studio的费用。但是，如果你想用于商业产品的开发，你必须还要购买SQL Server Standard Edition。学校或非赢利的企业可以不考虑这一附加的费用。

性能：先进的MySQL

纯粹就性能而言，MySQL是相当出色的，因为它包含一个缺省桌面格式MyISAM。MyISAM 数据库与磁盘非常地兼容而不占用过多的CPU和内存。MySQL可以运行于Windows系统而不会发生冲突，在UNIX或类似UNIX系统上运行则更好。你还可以通过使用64位处理器来获取额外的一些性能。因为MySQL在内部里很多时候都使用64位的整数处理。Yahoo!商业网站就使用MySQL作为后台数据库。

当提及软件的性能，SQL服务器的稳定性要比它的竞争对手强很多。但是，这些特性也要付出代价的。比如，必须增加额外复杂操作，磁盘存储，内存损耗等等。如果你的硬件和软件不能充分支持SQL服务器，我建议你最好选择其他如DBMS数据库，因为这样你会得到更好的结果。

这两者数据库都能够在.NET或J2EE下运行正常，同样，都能够利用RAID。

安全功能

MySQL有一个用于改变数据的二进制日志。因为它是二进制，这一日志能够快速地从主机上复制数据到客户机上。即使服务器崩溃，这一二进制日志也会保持完整，而且复制的部分也不会受到损坏。

在SQL服务器中，你也可以记录SQL的有关查询，但这需要付出很高的代价。

安全性

这两个产品都有自己完整的安全机制。只要你遵循这些安全机制，一般程序都不会出现什么问题。这两者都使用缺省的IP端口，但是有时候很不幸，这些IP也会被一些黑客闯入。当然，你也可以自己设置这些IP端口。

恢复性:先进的SQL服务器

恢复性也是MySQL的一个特点，这主要表现在MyISAM配置中。这种方式有它固有的缺欠，如果你不慎损坏数据库，结果可能会导致所有的数据丢失。然而，对于SQL服务器而言就表现得很稳键。SQL服务器能够时刻监测数据交换点并能够把数据库损坏的过程保存下来。

根据需要决定你的选择

对于这两种数据库，如果非要让我说出到底哪一种更加出色，也许我会让你失望。以我的观点，任一对你的工作有帮助的数据库都是很好的数据库，没有哪一个数据库是绝对的出色，也没有哪一个数据库是绝对的差劲。我想要告诉你的是你应该多从你自己的需要出发，即你要完成什么样的任务？而不要单纯地从软件的功能出发。

如果你想建立一个.NET服务器体系，这一体系可以从多个不同平台访问数据，参与数据库的管理，那么你可以选用SQL服务器。如果你想建立一个第三方站点，这一站点可以从一些客户端读取数据，那么MySQL将是最好的选择。

         如果你每天访问的网站需要登录，那么你的登录用户名和密码很可能是保存在关系数据库中，其他网站用户的登录信息也和你一起保存在数据库中，但愿你的密码保存前经过加密处理，如果是明文存储的话简直太可怕了。

　　不幸的是，有一些网站存在安全漏洞，攻击者可以通过一种叫做SQL注入的攻击技术窃取到存储在数据库中的密码信息。

　　更令人担忧的是，即使数据库打上所有补丁也不能避免这种攻击，这不是一个补丁问题，更多的与数据库工作方式及系统设计有关。

　　这种攻击可以针对任何包含来自数据库的数据的网页，如一个搜索页面，客户意见反馈页面，不管数据库是MySQL，SQL Server还是Oracle，都无法避免这种攻击，SQL注入攻击不仅是针对SQL Server的。

　　通常，在数据库中使用一个表来存储用户登录信息，这个表至少有两列，一列存储用户名(username)，另一列存储密码(password)，而表名通常会被取为users或类似的名字。

　　当用户在网站上提交他们的详细信息时，数据库将会解析username和password，然后转换为SQL字符串，发送给数据库，数据库引擎接收到的SQL类似：

SELECT * FROM users WHERE username = ‘fredsmith’ AND password = ‘userspassword’
　　
　　这是一个非常标准的SQL语句，无论你使用什么数据库存储用户的数据，SQL语句看起来都大同小异。

　　攻击者对SQL注入攻击非常有兴趣，因为他们通过发送一些伪造数据就可以操纵数据库，如传入一个无效用户名：

SELECT * FROM users WHERE username = ‘ ‘ ‘ AND password = ‘ ‘

　　攻击者提供一个单引号字符作为用户名，一个空格作为密码，数据库也表现得非常好，遇到这种查询就返回一个错误消息，但攻击者看到返回的错误消息后，不会就此罢手，而是要深入挖掘可利用的信息，可能一不小心数据库就暴露了表结构，这正是攻击者想要得到的东西，经验丰富的攻击者可以迅速地入侵数据库。

　　在接下来的例子中，通过向username添加其它字符串来进一步欺骗数据库，例如，如果我们输入or email=’345作为用户名，查询解析器将会解析为：

SELECT * FROM users

　　WHERE username = ‘ ‘ or email=’345 ‘ AND password = ‘ ‘

　　如果数据库users表中不存在email列，它可能会爆出一个错误，另一方面，它可能无法给出错误消息暗示缺少一列email，我们需要做的是给用户输入一个email地址，由于大多数机构都有一个标准的电子邮件地址结构，因此很容易得到员工的名字，然后使用这个名字作为SQL注入时的用户名。

　　正如你所看到的，从用户登录页面就可以很容易地构造出数据库结构，有时通过猜测也可以得到数据库结构。

　　好消息是，保护数据库避免SQL注入也完全是可能的。常见的措施包括过滤用户输入，Cookie和URL中的单引号、双引号、斜线、反斜线和分号等特殊字符，此外，数字值先转换成整数再传递给数据库。

　　另一方面，数据库活动监控解决方案通常会保护Web应用程序，处于学习模式的数据库活动监控工具会自动学习应用程序的“正常”活动，学习完后就知道哪些活动是正常的，因此攻击者伪造的查询就会被诊断为可疑活动，遇到这种行为，数据库活动监控工具就会产生一个警告，并采取适当的行动阻止非正常活动。

　　良好的系统设计是防止SQL注入的重要方法，但和数据库活动监控工具结合使用，你将会更加放心。