F\x00..." 。 图 2-1 数据库中的字符串键示例 Redis 为字符串键提供了⼀系列操作命令， 通过使⽤这些命令， ⽤户可以： 为字符串键设置值。 获取字符串键的值。 在获取旧值的同时为字符串键设置新值。 同时为多个字符串键设置值，或者同时获取多个字符串键的值。 取得字符串值的⻓度。 获取字符串值指定索引范围上的内容，或者对字符串值指定索引范围上的内容进⾏修改。 将⼀些内容追加到字符串值的末尾。 对字符串键储存的整数值或者浮点数值执⾏加法操作或减法操作。 本章接下来将对以上提到的这些字符串键命令进⾏介绍， 并演示如何使⽤这些命令去解决各种实际的问题。 2.1 SET：为字符串键设置值 创建字符串键最常⽤的⽅法就是使⽤ SET 命令， 这个命令可以为⼀个字符串键设置相应的值。 在最基本的情况 下， ⽤户只需要向 SET 命令提供⼀个键和⼀个值就可以了： SET key value 跟之前提到过的⼀样， 这⾥的键和值既可以是⽂字也可以是⼆进制数据。 的过程中不应该对键在数据库中的摆放位置做任何假设， 以免造成错误。 2.1.1 改变覆盖规则 在默认情况下， 对⼀个已经设置了值的字符串键执⾏ SET 命令将导致键的旧值被新值覆盖。 举个例⼦， 如果我们连续执⾏以下两条 SET 命令， 那么第⼀条 SET 命令设置的值将被第⼆条 SET 命令设置的值 所覆盖： redis> SET song_title "Get Wild" OK redis> SET

Redis 管理控制台是用于管理 Redis 实例的 Web 应用程序，您可以通过该控制台上直观的用户界面进行实例 创建、网络设置、实例管理、密码设置等操作。 Redis 管理控制台是阿里云管理控制台的一部分，关于控制台的通用设置和基本操作请参见使用阿里云管理控 云数据库 Redis 版 快速入门 1 制台。本文将介绍 Redis 控制台的通用界面，若有差异，请以控制台实际界面为准。 Redis 所有 db 的 key 个数的总和，对于集 群实例会汇聚后端所有的节点的数据。 Expires 当前设置了过期数据的 key 的个数的总和。 ExpiredKeys 历史过期掉的 key 的个数。 这个值是历史过期掉的 key 的个数的总和，所以 是不包含当前设置了过期 key 同时没有过期掉的 值。同时，它是一个历史累加值，不是当前已经过 期的 key 的个数。 注意：如果发生主备切换，该值会以新的主库为准 监控，比如查看 set 命令每秒的次数。详 细信息请参见性能监控。 报警设置 选择左侧导航栏的报警设置，单击报警设置按钮跳转到云监控的设置页面。 您可以根据指引创建 Redis 的监控。对于集群实例建议添加所有实例的内存监控，这样可以对集群实例的子节 点的内存进行监控，告警设置如下： 、连接断开等异常引起的操作异常的数目。 对于部分旧版本的 Redis，该值为一个历史值，对

Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则 避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一 般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下，利用 Redis 自身的提供的config 默认是没有权限验证的,登录的用户可以通过默认端口无需 密码对数据库任意操作（增、删、改、查高危动作）而且可以远程访问数据库。 造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 --auth 也很少会有人会给数据库 添加上账号密码（默认空口令），使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到 数据服务器。 漏洞利用 环境介绍 环境搭建 访问shell.php 更多利用方式可参考：https://www.secpulse.com/archives/2166.html 防御手段 -升级版本。 -添加认证，设置强密码复杂度及账号锁定。 -禁止把Jenkins直接暴露在公网。 Memcached 未授权访问漏洞 漏洞简介以及危害 Memcached 是一套常用的 key-value

Security--Authentication Redis提供了一个身份验证功能 Redis在配置文件中进行配置 客户端可以发送AUTH命令+密码来验证自己 Redis执行效率快，需要密码设置长 Redis客户端使用IP,PORT,PASSWORD访问 2016Postgres中国用户大会 Postgres Conference China 2016 Redis提供禁用一些高危命令 Redis的配置文件中使用rename-commond配置 Shutdown Flushall,Flushdb Select Config 设置为一个新的名字 设置为空 2016Postgres中国用户大会 Postgres Conference China 2016 中国用户大会 Redis Security--others

在这种场景下也使用 lazyfree 的方式来删除，您可以在控制台上 打开如下配置： 说明：该参数配置在控制台中暂未开放，后续我们会尽快发布。 淘汰或者逐出数据 有些用户对数据设置过期时间，依赖 Redis 的淘汰机制去删除已经过期的数据，这同样也存在上面提到的问题 ：淘汰某个大 key 会导致进程 CPU 出现抖动。Redis 4.0 提供了两个配置，可以让 Redis 在淘汰或者逐出数据 用于连接云数据库 Redis 版的 Host 地址，以域名 方式展示，可在实例信息>连接信息中查询到。 连接密码 用于连接云数据库 Redis 版的密码。密码拼接方法 为：实例 ID:自定义密码。比如，在购买时设置的 密码为1234，分配的实例 ID 为xxxx，那么密码即 为xxxx:1234。 逐出策略 与 Redis 的逐出策略保持一致。具体参见 云数据库 Redis 版 产品简介 30 Redis

• 一主多从, 主从切换代价大 – 主库挂掉后升级从库, 所有的从库全部重传数 据 SACC2017 Redis 问题 • 缓冲区写满问题 – 内存是昂贵资源, 缓冲区一般设置2G – 网络原因很容易将数据堵死, 那么就会发生大 量数据重传 SACC2017 Redis 问题 • 内存太贵 – 线上使用的redis 机器是 64G, 96G. 只使用