audio-video-disco

Und mal wieder etwas aus der Kategorie “KostNix”: Bei Microsoft gibt es ab sofot das eBook “Introducing Microsoft SQL Server 2008” für lau zu haben.

Ein Blick in das Inhaltsverzeichnis verspricht einige interessante Theme:

Introducing Microsoft SQL Server 2008:
Chapter 1: Security and Administration
Chapter 2: Performance
Chapter 3: Type System
Chapter 4: Programmability
Chapter 5: Storage
Chapter 6: Enhancements for High Availability
Chapter 7: Business Intelligence Enhancements

Nachteil: man muss sich für das Buch bei Microsoft registrieren. Wer das nicht möchte, kann sich zumindest das erste Kapitel anschauen :)

[via mynethome.de]

Dietmar Rabich hat für seine beiden Plugins Database Tuning und Meta Information ein Update herausgebracht, so dass diese nun auch mit der aktuellen WordPress-Version 2.3 zusammenspielen.

Und somit läuft auch endlich das letzte Plugin in meinem Blog unter WP2.3. Bleibt mir eigentlich nur noch zu sagen: Keep up the good work! :)

Auf Milw0rm wurde ein Exploit für eine Remote SQL-Injection für das Blogsystem WordPress veröffentlicht, mit der Angreifer eigene Befehle an die Datenbank von WordPress übergeben und so Inhalte manipulieren oder Namen und Passwort-Hashes anderer Nutzer auslesen können.

Verursacher ist die Funktion wp.suggestCategories im Modul xmlrpc.php, die übergebene Parameter nicht richtig filtert und so beliebige SQL-Aufrufe an die Datenbank weitergibt.

Der Fehler betrifft wahrscheinlich alle WordPress-Versionen bis einschließlich 2.2. Zwar lässt sich der Exploit nur als angemeldeter Nutzer ausnutzen, Anwender sollten aber ASAP das Update der xmlrpc.php aus den Entwickler-Repositories einspielen.

Wer es lieber händisch mag, muss in der Zeile 541

$max_results = $args[4];

gegen

$max_results = (int) $args[4];

austauschen … zumindest passt dieses auf die xmlrpc.php der Version 2.2. Wie der Code in den Versionen < 2.2 aussieht, kann ich IMO leider nicht sagen.

Will man bei einer Datenbank eines MS SQL-Servers die Besitzrechte aller Datenbanken ändern, so kann man dieses bekannter weise über “Rechtsklick->Alle Tasks->Berechtigungen verwalten” erledigen.

Soll der Besitzer aller Tabellen einer Datenbank geändert werden, ist dieses Vorgehensweise allerdings suboptimal. Besser und vor allem schneller geht es in einer solchen Situation mit

Leider funktioniert diese Methode nicht bei Stored Procedures (SP), hier reicht es allerdings aus, für alle SP ein SQL-Script zu generieren und überall, wo der Benutzer mittels setuser gesetzt wird, diesen gegen den neuen Benutzer auszutauschen (setuser N’NeuerBesitzer’).

Ein Array kann man bekannter Maßen nicht an eine Stored Procedure übergeben. Notnagel wäre an dieser Stelle eine kommaseparierte Liste von String-Parametern als IN-Parameter.

Einen interessanten Ansatz dazu hat Daniel Müller in seinem .NET – Software & DotNetNuke (DNN) Blog gefunden. Mittels einer User Defined Function(UDF) macht er aus den nvarchar Parameter eine “Tabelle”, die er dann ohne ohne Probleme mit dem IN Parameter verarbeiten kann.

Natürlich ist hier nicht nur ein select-Statement denkbar. Mittels einem Cursor läßt sich mit dem Ergebnis auch eine weitere Stored Procedure ansprechen und die gefunden Daten z.B. in eine andere Tabelle abspeichern.

Zugegeben, ein Cursor ist nicht gerade etwas, was man häufig verwenden sollte, aber dieses Blog ist ja auch kein SQL Lehrbuch *G*