近期大型商务网站和政府网站被黑客通过 Adminer 数据库入侵,根本原因是 MySQL 的协议缺陷。
但在官方文档显示,客户端主机到服务器主机的文件传输由 MySQL 服务器启动 。理论上,客户端程序选择的文件不应是 LOAD DATA 语句中客户端指定的文件,而应该是传输服务器选择的文件。
虽然由很大的泄密风险,但服务器必须知道客户端上文件的完整路径,才可能成功。而请求 /self/proc/environ ,服务器就可以了解客户端上的文件夹结构。
一些客户端和库具有对此“功能”的内置保护,或者在默认情况下禁用它(例如 Golang , Python , PHP-PDO )。但并非所有都会这么做,正如 Adminer 案例所示。Adminer 很可能不会是最后一个出现该问题的
以上所述就是小编给大家介绍的《MySQL 客户端允许 MySQL 服务器请求任何本地文件》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- Netty源码分析--处理客户端接入请求(八)
- nginx获取客户端请求的真实IP
- MySQL 客户端允许 MySQL 服务器请求任何本地文件
- 关于前端ajax请求的优雅方案(http客户端为axios)
- QuickHttp 2.0.1 版本发布,一个 Java Http 请求客户端框架
- QuickHttp 2.0.5 版本发布,一个 Java Http 客户端请求框架
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Learning Vue.js 2
Olga Filipova / Packt Publishing / 2017-1-5 / USD 41.99
About This Book Learn how to propagate DOM changes across the website without writing extensive jQuery callbacks code.Learn how to achieve reactivity and easily compose views with Vue.js and unders......一起来看看 《Learning Vue.js 2》 这本书的介绍吧!
