该篇文章描述了MySQL,一种利用第三方数据库开发电子贸易和其它复杂、动态网站的有效工具。MySQL 是一种快速、多线程和全功能的 SQL服务器。除了描述MySQL系统的基本体系结构以外,该篇文章还提供了以Tcl和C++编写的简单示例,帮助您开发支持数据库的Web应用。
Web服务器必须使其处理脚本有办法来存储有关供其以后访问的状态信息。尽管有可能使用比较原始一些的方法--例如转储到文该篇文章件或开发自制的迷你数据库 --但只有成熟的数据库应用才能提供更为复杂的Web应用所需的所有服务。因为有一些免费获得的软件包可用于该目的,所以编写定制的特定于应用的数据库引擎并无太大好处。 另外,使用第三方数据库还使Web开发者不必投入到开发和维护数据库的任务中。
通过使用脚本语言和编译型系统语言(例如 C),将数据库集成到Linux应用就可能相当容易。可免费获得的MySQL(在GNU Public License下发行)数据库提供了一系列复杂的SQL功能,并易于集成到应用中。MySQL是快速、多线程的,并支持ANSI和ODBC SQL标准。加上第三方软件,MySQL就支持用于事务处理应用的事务安全的表。
事务是需要以原子方式执行的对数据库所做的一系列更改。它们要么必须全部执行,要么一个都不执行。 例如,在Web上销售产品时所有必需的数据库更改组成一个事务。
MySQL API可用于各种语言,包括几乎所有编写网站后端所实际使用的语言。 使用这些API,我们可以构建由Web服务器控制的 MySQL客户机。
#This code prints out all products in the database
# that are below a specified price (assumed to have been determined
# beforehand, and stored in the variable targetPrice)
# The output is in HTML table format, appropriate for CGI output
#load the SQL shared object library. The Tcl interpreter could also
#have been compiled with the library, making this line unnecessary
load /home/aroetter/tcl-sql/sql.so
#these are well defined beforehand, or they could
#be passed into the script
set DBNAME "clientWebSite";
set TBLNAME "products";
set DBHOST "backend.company.com"
set DBUSER "mysqluser"
set DBPASSWD "abigsecret"
set targetPrice 200;
#connect to the database
set handle [sql connect $DBHOST $DBUSER $DBPASSWD]
sql selectdb $handle $DBNAME ;# get test database
#run a query using the specified sql code
sql query $handle "select * from $TBLNAME where price <= $targetPrice"
#print out html table header
puts ""
puts "| Product Id | Description | Price ($)"
#output table rows - each fetchrow retrieves one result
#from the sql query
while {[set row [sql fetchrow $handle]] != ""} {
set prodid [lindex $row 0]
set descrip [lindex $row 1]
set price [lindex $row 2]
puts " | | $prodid | $descrip | $price"
}
puts " | "
#empty the query result buffer - should already be empty in this case
sql endquery $handle
#close the db connection - in practice this same connection
#is used for multiple queries
sql disconnect $handle
|
#include
#include
#include
const char *DBNAME = "clientWebSite";
const char *DBTABLE = "products";
const char *DBHOST = "backend.company.com";
const char *DBUSER = "mysqluser";
const char *DBPASSWD = "abigsecret":
int main() {
try {
//open the database connection and query
Connection con(DBNAME, DBHOST, DBUSER, DBPASSWD);
Query query = con.query();
//write valid sql code to the query object
query << "select * from " << DBTABLE;
//run the query and store the results
Result res = query.store();
//write out the html table header
cout << "n";
cout << "| Product Id | Description"
<< " | Price ($)" << endl;
Result::iterator curResult;
Row row;
//iterate over each result and put it into an html table
for (curResult = res.begin(); curResult != res.end(); curResult++) {
row = *curResult;
cout << " | | " << row[0]
<< " | " << row[1]
<< " | " << row[2] << endl;
}
cout << " | " << endl;
} catch (BadQuery er) {
// handle a bad query (usually caused by a sql syntax error)
cerr << "Error: " << er.error << endl;
return -1;
} catch (BadConversion er) {
//handle conversion errors out of the database as well
cerr << "Error: Can't convert "" << er.data << "" to a ""
<< er.type_name << ""." << endl;
return -1;
}
return 0;
}
|
在Web上创建以Web支持的应用有一些开发者需要考虑的问题。所有有关Web服务器上CGI程序的问题,例如Web服务器处理许可权和脚本方的输入检查,也仍然需要考虑。
除此之外,维护数据库系统的安全性也很有必要。这涉及保护数据库服务器的许可权系统,以及使从数据库客户机到服务器的连接安全。
MySQL提供了深入的安全性系统,有人形容它是“高级但不标准”。MySQL允许根据用户名、客户机主机和要访问的数据库对客户机进行访问。要创建安全的系统,让所有用户使用强口令,不要给他们任何他们不是绝对需要的访问权。这包括表面上无害的特权,例如可以让用户查看所有正在运行的进程(包括更改其他用户口令的那些)的处理特权。最好的办法是以无特权的Unix用户运行服务器进程本身,这样如果一个数据库被泄露,也不至于击垮整个系统。这与以用户nobody而非root用户运行httpd类似。 描述系统访问的表是作为单独的MySQL数据库存储的,可以由MySQL root用户更新。 请注意,MySQL服务器根据MySQL用户名授予特权,这些用户名与Unix用户名不同。不过,有一个MySQL root用户名,它对数据库有全部权限。一旦服务器确定了连接客户机是谁,以及它们在尝试连接什么之后,就根据给定的一组权限来控制访问权。要防止访问表中主机名被DNS电子欺骗,可以输入所有主机的IP地址,或请求服务器将IP地址解析回原始主机名来使其他人截获DNS请求和回答更困难。
除了服务器访问表以外,与服务器的通信也必须很安全。从客户机登录到服务器上时,口令不以纯文本方式发送;不过所有后续 SQL 命令将以纯文本方式发送。为达到更高的安全性,使用ssh来设置端口转发。它将服务器和客户机之间的所有通信进行加密,防止有人在传输中观察它。来自客户机的数据发送到客户机本地机器中本地ssh服务器所侦听的端口上。它由本地ssh服务器使用,加密后发送给远程ssh服务器,由它进行解密并转发到 MySQL服务器端口。
在实际中,最安全的方法是在 Web 服务器所在的机器上运行数据库服务器,并让由Web服务器产生的CGI脚本通过UNIX(本地)套接字与MySQL服务器进行通信。该设置可以让数据库管理员禁用所有与MySQL服务器的远程连接。如果Web和数据库服务器必须位于不同的机器上,加密它们之间的所有通信,或者将两台机器通过其自己专用的、物理上隔离的网络连接。只创建一个由Web服务器使用的用户帐户(除 root 用户外)以登录到数据库服务器。
由数据库驱动的网站是一些功能强大的工具,可以让开发者创建提供更新信息的动态站点,并让由客户机发起的更改在多个会话之间持续。后端数据库的使用对于管理电子贸易和其它应用的用户来说必不可少。通过使用可免费获得的软件,有可能建立由数据库驱动的站点,安全地将数据库连通性集成到站点现有的CGI体系结构中。
