oracle抓取未采用绑定变量的动态sql

时间：2021-02-04 12:22:21 阅读：26 评论：0 收藏：0 [点我收藏+]

绑定变量的作用：提升数据库性能，降低数据安全风险。

数据库性能：oltp 类型系统往往运行着大量的结构相似的短sql语句，每次变化的值让优化器对同一个语句进行多次硬解析，从而增加数据库对语句执行消耗的cpu资源

数据安全：黑客可能利用网页生产的sql代码的where条件的值修改成具有攻击性例如1=1，union all 等条件进行数据非法获取，从而存在系统敏感数据被盗用风险。

绑定变量目的:减少硬解析，增加sql语句的共享性，避免sql注入，降低数据被盗风险。

捞取系统未采用绑定变量sql的语句如下:

--oracle 9i

select substr(sql_text, 1, 80), count(1)

from v$sql

group by substr(sql_text, 1, 80)

having count(1) > &a

order by 2;

--oracle 10g/11g/12c

select to_char(FORCE_MATCHING_SIGNATURE), count(1)

from v$sql

where FORCE_MATCHING_SIGNATURE > 0

and FORCE_MATCHING_SIGNATURE != EXACT_MATCHING_SIGNATURE

group by FORCE_MATCHING_SIGNATURE

having count(1) > &a

order by 2;

找到这些动态sql，请开发修改成绑定变量形式(推荐方式，长期措施),开发不能修改程序的，可以通过调整数据库参数cursor_sharing为FORCE，数据库会自动对动态sql进行改写为绑定变量方式(不推荐，短期方式，容易引发bug)

原文：https://www.cnblogs.com/oradba/p/14370867.html

踩

(0)

评论一句话评论（0）

分享档案

更多>