SQLite - очень популярное решение хранения данных, и операционная система Android не исключение. Сама система и многие программы используют для хранения информации базы данных — файлы с расширением db. Какие именно данные содержатся в базах, как их посмотреть, что с ними можно сделать и чем это грозит устройству с правами суперпользователя - обо всем этом я расскажу в статье.
Для работы с базами существует немало различного софта как для компа, так и для Android-устройств. Базы приложений обычно находятся по пути /data/data/НАЗВАНИЕПАКЕТА ПРИЛОЖЕНИЯ/databases. Узнать название пакета интересующего приложения можно зайдя в «Настройки -> Приложения -> Все» и выбрав нужное (откроется вкладка «О приложении»), или в адресной строке браузера на странице приложения в Play Market.
Чтобы попасть в сам каталог /data/data, необходимы права суперпользователя, а с просмотром содержимого отлично справится Root Explorer. Для более удобной работы, а также для редактирования баз на устройстве можно использовать, например, SQLite Debugger , а на компе - DB Browser for SQLite . Для работы с базами также необходим установленный BusyBox с апплетом sqlite3. Все манипуляции в статье проводятся на Nexus 5 с прошивкой 5.1. Доступные для просмотра и редактирования базы, разбитые по соответствующим программам, на устройстве можно посмотреть в той же программе SQLite Debugger, нажав на главном экране меню App. Так чем же могут быть полезны базы в первую очередь тебе и что может украсть злоумышленник? Попробуем разобраться.
Находится в /data/system/ или /data/system/users/0 в зависимости от версии прошивки и содержит данные обо всех аккаунтах, зарегистрированных на устройстве. Как видно на скриншоте «Структура accounts.db» в таблице accounts, к моему устройству привязано пятнадцать аккаунтов различных программ. Почти для всех указаны логины, для части есть пароли (на рисунке часть удалена) в зашифрованном виде.
В таблице authtokens содержатся токены авторизации от приложений, всех сервисов Google, GMS и других приложений. На вкладке extras - дополнительные ключи и значения, такие как GoogleUserId и список подключенных приложений/сервисов. У меня их около пятидесяти, включая Talk, YouTube, URL shortener, Wallet и другие.
Не скажу, может ли злоумышленник расшифровать пароли из базы, но получить доступ к сервисам можно, просто подкинув базу на другое устройство. Попробуем провести такой эксперимент. Возьмем базу со смартфона Nexus 5 и планшет Nexus 7 с чистой системой (свежеустановленная 5.1 через flash-all.bat с ключом -w, затем root). После загрузки чистой системы нажимаем «Пропустить» при запросе добавления аккаунта, далее устанавливаем весь софт, прописанный в accounts.db (WhatsApp официально не поддерживает работу на планшетах, поэтому качаем APK с варезников или 1mobile.com). Далее скидываем базу со смартфона, помещаем в каталог /data/system/users/0 на планшете и перезагружаемся.
После загрузки видим, что на вкладке «Настройки -> Аккаунты» появился наш аккаунт Google и дал нам полный доступ ко всем связанным программам. Почта, с помощью которой можно поменять пароль от аккаунта, все контакты с номерами телефонов, Google+, фотографии, файлы Google Drive, заметки, сохраненные авторизации в мобильном Хроме и так далее. Единственный неприятный момент - нерабочий Play Market, который выдает: «Ошибка при получении данных с сервера rpc:s-7:aec-7». Погуглив текст ошибки, можно легко его реанимировать.
Остальные приложения вели себя по-разному:
Вывод: к последним трем программам легко получить доступ, если увести данные из accounts.db или саму базу.
А вот и вся наша СМС-переписка. Находится она по пути /data/data/com.android.providers.telephony/databases/. Попробуем что-либо поменять. Для примера возьмем СМС с номера 900 - это информатор Сбербанка. На скриншоте «СМС от Сбербанка до и после вмешательства в mmssms.db» слева, последнее сообщение: «ECMC6844 02.05.15 12:49 покупка 450р 210009 KARI Баланс: 3281.16р». Поменяем его на более интересное сообщение, показанное справа. Для этого открываем базу на устройстве в SQLite Debugger. Нас интересует таблица sms. Выделим необходимые поля запросом:
> SELECT _id, thread_id, address, date, body FROM sms WHERE address = 900
Программа имеет тач-ориентированный интерфейс, и сами команды можно не писать вручную. Они подставляются автоматически после вызова меню долгим тапом на значении или после нажатия на соответствующее слово в верхней строке. Команды показаны для удобства использования в дальнейшем (например, при работе с консолью или вызове скриптов Таскером).
Итак, нажав на SELECT и отметив галочками нужные поля, получим таблицу, содержащую номер записи, номер ветки разговора, номер отправителя, дату в UNIX time и собственно текст СМС (см. скриншот «Изменяем значения в базе mmssms.db»). Долгий тап на последней записи. Программа предлагает на выбор действия. Выбираем Update value. Вводим необходимый нам текст. По аналогии с предыдущими СМС сделаем себе зачисление денег через банкомат. Изменим текст на «ECMC6844 05.05.15 10:18 зачисление 1000000р ATM 367700 Баланс: 1003731.16р». Сам запрос будет выглядеть так:
> UPDATE sms SET body = "ECMC6844 05.05.15 10:18 зачисление 1000000р ATM 367700 Баланс: 1003731.16р" WHERE _id = 196
Нажав на треугольник в правом верхнем углу, внесем изменение в строку. Подгоним время из текста СМС (05.05.15 10:18) в поле date. Можно использовать любой UNIX time конвертер, например Онлайн калькулятор unix time stamp . Соответствующая дата будет 1430810300. Добавим в конец три произвольных цифры для миллисекунд и вставим полученное значение в поле date.
> UPDATE sms SET date = 1430810300000 WHERE _id = 196
Две команды можно объединить в одну, вписав редактируемые поля с данными через запятую. Нажимаем в правом нижнем углу кнопку Commit и вносим изменения в базу. Смотрим, что получилось. На том же скриншоте «СМС от Сбербанка до и после вмешательства в mmssms.db» справа видно, что теперь мы богатые люди и на счету у нас больше миллиона. Иногда требуется очистить данные приложения, обрабатывающего СМС, чтобы изменения вступили в силу.
Попробуем добавить в базу новую СМС. Для этого нам понадобятся две таблицы в базе: threads, которая хранит порядковый номер и заголовок (последнее сообщение) разговора/нити, и sms, которая хранит всю оставшуюся информацию. Вариантов событий тут два.
Вариант 1: добавляем СМС в существующий разговор. Для этого ищем в таблице sms номер ветки разговора - thread_id, соответствующий номеру отправителя. Как видно на скриншоте «Изменяем значения в базе mmssms.db», для информатора Сбербанка это цифра 7. Добавим новую строку в разговор, показанный на предыдущем скриншоте. Заполняем следующие поля: thread_id - ветка/нить разговора; address - номер отправителя; person - если отправитель есть в списке контактов; date - время прихода СМС; read - 1 для прочитанного сообщения, 0 для непрочитанного; type - 1 входящее, 2 исходящее (есть еще 0 - отправляемое и 4 - черновик); body - текст сообщения. Для добавления новой строки в таблицу необходимо выполнить следующую команду:
INSERT INTO sms (threadid, address, date, read, type, body) VALUES (7, 900, strftime("%s", "now")*1000, 1, 1, "Текст сообщения")
Значение strftime("%s", "now")*1000 используется для вставки текущего времени. Для вставки конкретной даты и времени необходимо использовать UNIX time с тринадцатью цифрами. Результат можно увидеть на скриншоте «Добавляем новую СМС в существующий разговор».
Вариант 2: добавляем новую СМС и создаем новую ветку разговора. Если по аналогии добавить строку с новым номером +7123456789, которого нет в записной книге и с которым ранее не было переписки, то в отправителях будет значиться «Неизвестный отправитель» без указания номера (см. скриншот «Добавляем новую СМС и создаем новую ветку» слева). Чтобы этого избежать, необходимо увязать еще таблицы threads и canonical_addresses. Сначала добавляем строку с номером в canonical_addresses, попутно проверяя наличие этого номера в таблице:
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.
SQLite - это база данных, чем-то похожая на MySQL. Принципиальное отличие SQLite от других БД в том, что вся база представляет собой один файл. Если в MySQL база хранится где-то в дебрях сервера и недоступна для переноса, то в SQLite с этим всё до безобразия просто: один файл - одна база.
Конечно же, сервер должен поддерживать драйвер SQLite (также как и любой другой БД), но как правило сейчас с этим проблем нет.
SQLite позволяет привычно работать с базой через SQL, создавать таблицы, поля и т.д. В целом можно сказать, что SQLite ни в чем не уступает привычной MySQL, за исключением, пожалуй более медленной работы с «тяжелыми» sql-запросами по обновлению данных (insert и update). Но, опять же, это для высоконагруженных сайтов.
Огромным плюсом SQLite будет её легкая переносимость. Скопировать файл - что может быть проще? Не нужно заботиться о бэкапах, как в MySQL, не нужно создавать на сервере пользователя с паролем, не нужно создавать саму базу. С SQLite просто берём и пользуемся.
Для работы с базой данных в PHP лучше использовать PDO - Объекты данных PHP - это т.н. абстракция, которая предлагает единый интерфейс для работы с разными базами. В теории, используя PDO, можно переключиться на любую базу, не переделывая SQL-запросы, например с MySQL на SQLite. Меняются только параметры подключения.
Таким образом SQLite будет подключаться через PDO. Для этого ничего не требуется, поскольку сам PDO уже в составе PHP, а драйвер SQLite, как правило, также включен на серверах.
Но, прежде, чем приступать к программированию, нужно создать саму базу. Например для MySQL существует phpMyAdmin, через который можно выполнять различные операции. Для SQLite также есть похожие разработки, но я покажу, как можно это делать через браузер FireFox. Для этого потребуется только установить дополнение .
Чтобы добавить это дополнение в основное меню FireFox («гамбургер»), нажмите Изменить и перетащите мышью икноку в меню.
На этом установлен и можно им пользоваться.
Для начала создадим новую базу данных. В SQLite - это отдельный файл, который будет иметь расширение.sqlite . SQLite Manager предложит указать каталог, где будет храниться этот файл. Выберите или создайте новый каталог. Для нас это пока не имеет особого значения. В результате будет создан sqlite-файл с новой базой.
Этот файл можно перемещать (и переименовывать) куда угодно, а после открывать командой меню Базы данных - Подключить базу данных .
Теперь нужно создать таблицу (или таблицы) в базе данных.
SQLite Manager автоматом создаёт служебные таблицы sqlite_XXX . Мы их не трогаем и нам они не мешают.
Таблица в БД - это то место, где хранится структурированная информация. Таблица должна иметь набор полей с заданными свойствами. Например поле может быть integer - для целых чисел, или text - для текста. Количество полей может быть произвольным и определяется только задачей вебмастера.
Пусть, например, у нас будет таблица pages с полями
После того, как таблица создана, обратите внимание на блок «SQL-оператор создавший этот объект». В нем будет SQL-запрос, которым можно создать таблицу. Он может пригодится, если требуется создать таблицу в базе через PHP.
На вкладке «Просмотр и Поиск» можно редактировать таблицу. Создадим для примера две строчки, где поле slug будет home и contact . Это будут две страницы: главная и сайт/contact .
Поле hits будет содержать счетчик просмотров страницы. Текст может быть любым.
Всё, база готова, теперь можно её использовать.
Поставим задачу. Пусть у нас будет простенький сайт, который будет выдавать по короткой ссылке (slug) соответствующий текст и количество просмотров.
Если мы делаем это на локальном сервере, то пусть сайт будет в каталоге sqlite . В нём подкаталог db , куда мы и скопируем наш pages.sqlite .
Роутинг мы можем сделать, как описано в предыдущей статье . Файл.htaccess
AddDefaultCharset UTF-8
Options -Indexes
В index.php сам роутинг будет описан одной строчкой:
$page = ($p = key($_GET)) ? $p: "home";
Я намеренно упрощаю алгоритм, чтобы не усложнять php-код.
Существуют два варианта работы с БД. Первый - это нативный php-код. Он не очень сложный, но обилие параметров немного напрягает. Поэтому второй вариант - использование дополнительных библиотек-оберток. С ними код становится лаконичней.
Приведу код index.php в первом варианте:
setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC); $sql ="SELECT * FROM pages WHERE slug=:page LIMIT 1"; $sth = $pdo->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY)); $sth->execute(array(":page" => $page)); $rows = $sth->fetchAll(); print_r($rows); // здесь выводим данные } catch(Exception $e) { echo $e->getMessage(); } # end of file
Для второго варианта я использовал php-библиотеку с сайта labaka.ru , которую разместил в подкаталог lib .
Код index.php:
Данный пример будет выводить для разных адресов разный текст и при этом будет работать счетчик просмотров. Если требуется добавить новую страницу, то её достаточно создать в базе. Для удобства, в SQLite Manager можно подключить базу прямо из каталога сайта.
Здесь следует отметить пару важных моментов.
В первую очередь, вся работа с PDO должна заключаться в блок try..catch . Таким способом отлавливаются сообщения об ошибках.
Данные, которые отправляются в sql-запрос должны проходить через валидацию. В PDO, когда используется предподготовка данных (PDO::prepare), выполняется принудительное экранирование параметров. Это позволяет защититься от возможных SQL-инъекций.
Когда происходит подключение базы данных SQLite, в случае отсутствия файла базы, он будет создан автоматически. На этом базируется создание базы сразу после его подключения и создание нужных таблиц первым sql-запросом (о котором я написал выше).
Еще одно замечание по SQLite. Поскольку база это файл, то его можно скачать по URL прямо через браузер. Поэтому каталог с SQLite-файлами лучше защищать через.htaccess строчкой Deny from all . Или же размещать выше чем основной www-каталог.
SQLite может пригодится для небольших задач, которые требуют небольшой базы данных: счетчики, голосования, мета-данные страниц и т.п.
Вы можете к этой статье.
Наверное, каждый разработчик сталкивался с базами SQLite хотя бы раз за свою карьеру. А если он занят мобильными приложениями, то, видимо, просто не имеет шанса их избежать. Мы тоже не стали исключением и в своих проектах часто используем эту замечательную БД. Как известно, создателями SQLite для администрирования официально предоставляется лишь консоль. Это породило целый сонм чудовищ громадье различных менеджеров от сторонних компаний.
Увы, количество не перешло в качество. У всех приложений мы нашли те или иные проблемы. Некоторые слегка шокируют. Например, очень популярным менеджером является бесплатный add-on браузера Firefox с незатейливым названием SQLite Manager. 234 записи в его issue tracker (как это будет по-русски?) пошатнут веру в будущее даже у бывалого айтишника. «Неверное отображение 8-байтных чисел». Да, совершенно верно, этот менеджер не может правильно показать все цифры в представлении 8-байтного целого (видимо из-за своей javascript натуры). Подумаешь, кого волнуют большие числа?
Многие менеджеры являются универсальными (поддерживают все популярные БД) и просто не дают использовать все особенности SQLite (которых весьма много). Еще одна проблема: перегруженный интерфейс. Часто возникало ощущение, что разработчики просто «вывалили» весь функционал приложения на главный экран в виде кучи мелких кнопочек. Также раздражало разбиение возможностей по нескольким приложениям: редактор данных, редактор схемы, импортер данных и пр. Маркетинг - это хорошо, но неудобно пользоваться. Наконец, модное нынче поветрие - выпускать приложение сразу на нескольких платформах с единой кодовой базой и фреймворком - часто приводит к появлению кучи мелких багов в интерфейсе: проблемы со шрифтами, неверная кодировка, неправильная высота строк, «уезжание» контролов и пр.
Наши сомнения подкрепил один пост на stackoverflow.com, в котором делался вывод, что «несмотря на большое число менеджеров баз SQLite, действительно удобного не существует и это играет отрицательную роль в плане популяризации SQLite». Так этот проект и появился на свет.
Разрешите представить: SqliteDog - современный менеджер баз данных SQLite. Нам хотелось немного изменить привычный интерфейс редактора БД, чтобы он больше походил на «помесь Excel с Chrome», чем на «SQL Server Management Studio». Мы исходили из следующей мантры: менеджер БД стоит на «трех китах». Это сами данные, схема данных и SQL запросы. Следует сделать выборку данных максимально простой и удобной, следует отображать данные максимально полезно (см. ниже). Следует показать схему данных наглядно и позволить ее произвольно менять. Редактор SQL должен быть красивым, удобным; работа с SQL не должна создавать проблем. Также хотелось иметь наглядный и удобный механизм управления настройками (PRAGMA) SQLite, которых много и которые на очень многое влияют. Например, по умолчанию ограничения внешних ключей отключены и размер кэша составляет 2000 страниц базы. В 95% случаев это не лучшие настройки, но они обычно «спрятаны» внутри каких-то подменю.
Итак, мы начали анализировать имеющиеся приложения, собирать идеи и пожелания. И этот этап занял где-то 3 месяца. Основное понимание было таким: почти все редакторы БД построены на архаичных интерфейсных решениях, которые они копируют друг у друга. Приведем несколько примеров.
Мы будем рады услышать отзывы и пожелания по доработке. Спасибо за интерес.
Теги: Добавить метки
|Sqlite – это очень простой и быстрый SQL-механизм с открытым исходным кодом. Данное руководство описывает установку и оптимальное использование Sqlite, в отличие от полнофункциональных СУРБД, таких как Mysql и Postgres, а также рассматривает и приводит примеры основного использования CRUD (Create, Read, Update, and Delete).
Не стоит думать, что Sqlite создан только для тестирования и разработки. К примеру, он может обеспечить сайту, по скромным подсчетам, до 100 000 просмотров в день. Максимальный размер базы данных Sqlite – 140 терабайт (что более чем достаточно), она может быть гораздо быстрее полномасштабной СУРБД. Полная база данных и другие необходимые данные хранятся в обычном файле в файловой системе хоста, следовательно, отдельный процесс сервера не нужен (что устраняет необходимость взаимодействия между процессами).
Sqlite ориентируется на простоту. Благодаря тому, что эта база данных полностью внутренняя, она часто значительно быстрее, чем альтернативные варианты. Sqlite идеально подходит тем, кому нужна мобильность (что касается языков и платформ), простота, скорость и небольшое потребление памяти. Недостатки Sqlite видны только при необходимости читать или писать параллельно в несколько файлов: Sqlite поддерживает только одного редактора; кроме того, обычно большое запаздывание файловой системы может быть неудобным при необходимости работать в Sqlite одновременно нескольким пользователям. Последний возможный недостаток: синтаксис Sqlite уникален, хотя и похож на другие системы SQL. Перейти на другую систему, переросши Sqlite, достаточно просто, но это может повлечь за собой некоторые затраты ресурсов.
Модуль sqlite3 является частью стандартной библиотеки Python, следовательно, на стандартной системе Ubuntu и на любой другой системе с установленной библиотекой Python не понадобится никаких дополнительных установок. Чтобы установить интерфейс командной строки Sqlite на Ubuntu, используйте эти команды:
sudo apt-get update
sudo apt-get install sqlite3 libsqlite3-dev
При необходимости скомпилировать Sqlite из исходного кода, загрузите последнюю версию autoconf с sqlite.org/download.html. Во время записи:
wget http://sqlite.org/2013/sqlite-autoconf-3080100.tar.gz
tar xvfz sqlite-autoconf-3080100.tar.gz
cd sqlite-autoconf-3080100
./configure
make
make install
Примечания к компилированию из исходного кода:
Чтобы создать базу данных, запустите команду:
sqlite3 database.db
где «database» — имя базы данных. Если файл «database.db» уже существует, Sqlite откроет его; если такого файла нет, он будет создан. Выведенный результат выглядит примерно так:
SQLite version 3.8.1 2013-10-17 12:57:35
Enter ".help" for instructions
Enter SQL statements terminated with a ";"
sqlite>
Теперь создайте таблицу и внесите в нее тестовые данные. Данная таблица называется «wines» и состоит из четырех столбцов: ID, производитель вина, вид вина, страна происхождения. В таблицу внесены три строки:
CREATE TABLE wines (id integer, producer varchar(30), kind varchar(20), country varchar(20));
INSERT INTO WINES VALUES (1, "Rooiberg", "Pinotage", "South Africa");
INSERT INTO WINES VALUES (2, "KWV", "Shiraz", "South Africa");
INSERT INTO WINES VALUES (3, "Marks & Spencer", "Pinot Noir", "France");
Итак, была создана база данных и таблица, в которую внесены некоторые записи. Теперь нажмите Ctrl + D, чтобы выйти из Sqlite, и введите следующее (заменяя «database» именем своей БД), что выведет только что созданную базу данных:
sqlite3 database.db
Теперь наберите:
SELECT * FROM wines;
Будут выведены только что внесенные записи:
2|KWV|Shiraz|South Africa
3|Marks & Spencer|Pinot Noir|France
Это все, что нужно знать о создании и чтении в Sqlite. Теперь нужно ознакомиться с обновлением и удалением:
UPDATE wines SET country="South Africa" WHERE country="France";
Это обновит базу данных, и все вина в списке, происходящие из Франции, будут отмечены как происходящие из Южной Африки. Проверьте результат:
SELECT * FROM wines;
Результат будет такой:
1|Rooiberg|Pinotage|South Africa
2|KWV|Shiraz|South Africa
3|Marks & Spencer|Pinot Noir|South Africa
Теперь все вина происходят из Южной Африки. Теперь попробуйте удалить KWV из базы данных:
DELETE FROM wines WHERE id=2;
SELECT * FROM wines;
Теперь в списке будет на одну запись меньше:
Все основные операции с базами данных выполнены. В завершение приведен немного более сложный пример, иллюстрирующий использование двух таблиц и базовую операцию объединения.
Выйдите из Sqlite при помощи команды Ctrl + D и снова подключитесь к новой базе данных с помощью
sqlite3 database2.db
Будет создана очень похожая на «wines» таблица, а также таблица «countries», хранящая название страны и имя ее действующего президента. Сначала создайте таблицу «countries» и внесите в нее Южную Африку и Францию (обратите внимание, можно скопировать и вставить сразу несколько строк кода SQLite):
CREATE TABLE countries (id integer, name varchar(30), president varchar(30));
INSERT INTO countries VALUES (1, "South Africa", "Jacob Zuma");
INSERT INTO countries VALUES(2, "France", "Francois Hollande");
Теперь снова создайте таблицу «wines»:
CREATE TABLE wines (id integer, kind varchar(30), country_id integer);
INSERT INTO wines VALUES (1, "Pinotage", 1);
INSERT INTO wines VALUES (2, "Shiraz", 1);
INSERT INTO wines VALUES (3, "Pinot Noir", 2);
Посмотрите, какие виды вина происходят из Южной Африки:
SELECT kind FROM wines JOIN countries ON country_id=countries.id WHERE countries.name="South Africa";
Будет выведен такой результат:
Pinotage
Shiraz
Так выполняется основная операция объединения. Обратите внимание, Sqlite многое выполняет самостоятельно. На самом деле в команде «JOIN» по умолчанию используется «INNER JOIN», но можно использовать только ключевое слово «JOIN». Также не нужно указывать «wines.country_id», так как это значение однозначно. С другой стороны, если ввести команду:
SELECT kind FROM wines JOIN countries ON country_id=id WHERE country_id=1;
Будет выведено сообщение об ошибке: «Error: ambiguous column name: id.». это справедливо, так как в обеих таблицах существует столбец «id». В целом, сообщения об ошибке Sqlite помогают довольно быстро обнаружить и устранить любые проблемы, что значительно ускоряет процесс разработки. Чтобы получить более подробную информацию о синтаксисе, изучите официальную документацию, содержащую множество графиков: sqlite.org/lang_delete.html ; она очень полезна, но если вы предпочитаете конкретные примеры, ниже приведена ссылка на руководство, рассматривающее большинство видов объединения: zetcode.com/db/sqlite/joins/ .
Кроме того, для Sqlite были разработаны драйверы на всех основных языках, сам же Sqlite работает на большинстве систем.
Tags: ,