Centos7、Mysql8.0 load_file函数返回为空的终极解决方法--暨selinux的深入理解

于 2023-12-08 19:55:55 发布
阅读量1k 收藏
点赞数
文章标签: MySQL selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/darkdragonking/article/details/134870374
版权

零、问题背景

        最近想换房,为了方便自己对比感兴趣的房子,因此决定将目标房源的基本信息放在表里,特别是要一目了然的看到众多房子的各种图纸和照片,因此决定要在Mysql8.0.34数据库中以二进制形式保存图片(抛开合理性和性能暂且不谈,这里只说技术实现),许多帖子说使用load_file函数来实现,但我按照其他人的方法实操时一直返回NULL,还好历经千辛万苦终于解决了,现将过程与思路加以总结,存档留念。

一、准备工作

1.1、服务器与数据库版本

        我是用 rpm 方式安装的 MySQL 8.0.23 版本,服务器操作系统是Centos 7.9 虚拟机资源  2C 4G 40G

1.2、表结构

        下图是我的表结构,其中有几个字段是 mediumblob类型,用来存放大小约为200k以内的图片。

1.3、图片保存位置

        为了便于后续业务扩展,也出于数据隔离的需要,我用服务器上自定义了 /data/pic/house 路径作为当前业务存储图片的根目录。并在其下面创建了 housepic 和 roomtype两个路径。

二、问题分步展示

2.1、问题展示

        我将一张名为 h_1.jpg 的图片放到  /data/pic/house/roomtype 下,然后使用如下语句尝试查看图片时没能返回预期图片内容,而是返回了NULL。

select load_file('/data/pic/house/roomtype/h_1.jpg');

2.2、原因及secure_file_priv介绍

         load_file 函数返回为 null 的原因,根源在于 MySQL 配置文件中的 “secure_file_priv” 属性取值与load_file 函数使用的路径不一。在具体解决问题之前,应该先了解这一属性的作用和取值范围是什么。

2.2.1、secure_file_priv介绍

        该属性有三类取值,分别为 "NULL"、空值、具体路径字符串。不同取值的含义如下表所示

取值含义
NULL不允许读写任何路径下的文件
'' 或 没有值允许读写任意路径下的文件
字符串(如 /tmp)允许读写当前路径(如 /tmp)下的文件
2.2.2、secure_file_priv 查看

        在MySQL任意一种客户端中输入如下命令查看。secure_file_priv的默认取值如下图所示,为 “/var/lib/mysql-files/”。说明当前load_file 函数只能操作 “/var/lib/mysql-files/” 路径下的文件。

show variables like '%secure%';

      

2.2.3、secure_file_priv 修改

        通过上面的分析已经知道了问题的原因,下面就是在MySQL的配置文件中修改这一参数的取值。因为我的MySQL是rpm安装版,所以配置文件的名称与路径为: /etc/my.cnf (其他版本操作系统下的MySQL的配置文件位置与名称请自行确认)。同时我希望 MySQL 不限制文件路径,因此 secure_file_priv 取值及展示如下所示:

#关闭mysql的文件读写路径限制,取值为空
secure-file-priv= ''

        需要注意的一点就是,配置文件中应写成 “secure-file-priv” 而非“secure_file_priv”的形式,切切

2.3、效果与终极解决方法

        如果逐位按照上面的方法作了修改,大概率是依然不成功。原因在于没有关闭selinux 。我之前就在selinux 这个坑中挣扎了好久才爬出来。下面就简单聊聊 selinux 是啥,以及为什么会对这个参数有这么大的影响。

2.3.1、selinux是什么、能做什么

        它是“安全增强型 Linux(Security-Enhanced Linux)”的简称,它是 Linux 的一个安全子系统。

        它能对linux系统中,包括root在内的所有用户的行为做管制。它能通过一系列的配置实现 “允许 X 目标,对 Z 对象/资源,做 Y行为 ” (May <subject> do <action> to <object/source>)的访问控制。其中,X多指进程;Y多指X访问的资源,如端口、文件等;Z多指访问或操作规则。

        它有三种工作模式,如下表所示:

模式名称作用
enforcing强制模式。阻止并在日志记录违反SELinux规则的行为
permissive宽容模式。仅在日志记录违反SELinux规则的行为
disabled关闭模式。关闭SELinux

        selinux 是一套相当复杂的子系统,里面有庞大的配置项需要了解,在此不做进一步的解释,只需要知道它会对 MySQL 的关键行为做校验与限制即可。除非是专门负责安全和服务器运维的工程师需要深入了解selinux各种规则之外,一般的开发人员在遇到linux 的一些校验失败的情况时,可以想到有这样一个东西存在,并且知道通过关闭selinux可以解决大部分的安全校验问题即可

2.3.2、selinux 的关闭与开启

        selinux 的关闭分为临时关闭和永久关闭,下图为临时关闭方式(即设为宽容模式)

        

        下面为永久关闭方法

# 修改 /etc/selinux/config 文件中的  SELINUX=disabled
[root@MySQL01 ~]# vim /etc/selinux/config

# 修改 /etc/sysconfig/selinux 文件中的  SELINUX=disabled
[root@MySQL01 ~]# vim /etc/sysconfig/selinux

2.4、最终效果

        在MySQL 的 secure_file_priv参数设置为理想的值,并且关闭了 selinux 之后,发现可以正常读取到图片了,如下图所示

2.5、补充说明

        存放图片的路径,建议放到 mysql 属组,且赋予 对应的权限。如下图所示

        

三、说在最后

9.1 如何查看centos 版本

cat /etc/redhat-release

9.2、如何查看MySQL版本

select VERSION();

9.3、load_file 函数的作用与效率

        它在 MySQL 中的主要作用是读取本地或远程的文件。文件种类涵盖文本、二进制、图片、视频等。因这样的读取方式不够安全,因此建议在受信的环境中使用。

9.4、MySQL 几种操作图片的思路和对比

        可以通过load_file 函数将图片记录到字段中,也可以将图片所在的路径记录到字段中。前者存在安全隐患,后者无法在MySQL中直接看到图片内容。因此对图片的处理方式应根据业务需求等因素综合考虑后选择。

darkdragonking
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySQL使用LOAD_FILE()函数方法总结
09-09
在本篇文章里小编给大家分享了关于MySQL使用LOAD_FILE()函数方法和相关知识点,需要的朋友们学习下。
MySQL设置支持LOAD_FILE()函数
最新发布
m0_62207482的博客
12-29 895
2.但是如果MySQL设置了secure_file_priv为NULL,则无法使用此函数,需要我们手动修改MySQL配置才可以。1.LOAD_FILE()函数能够返回文件内容,SQL语句为:SELECT LOAD_FILE('文件路径/文件名')6.打开MySQL-Front,输入 SELECT LOAD_FILE('文件路径。3.phpstudy中,点击 其他选项菜单→打开配置文件→mysql-ini。4.在文件最后一行添加:secure_file_priv="" 保存文件。文件名'),点击执行按钮;
利用MySQL load_file函数获取服务器文件试验
12-15
本文讨论了在MySQL环境下如何通过load_file函数获取服务器文件的方法,并针对特殊文件名给出了可行的解决办法。
Mysql使用load_file出现NULL解决
qq_52344654的博客
12-25 4027
0x00 首先声明采用的Ubuntu与mysql环境为5.7.26-0ubuntu0.16.04.1 0x01 今天在练习AWD加固时,偶然进入mysql后,使用select load_file('/flag');竟然显示NULL,空值。但是当我换成select load_file('/etc/passwd');竟然显示正常,很奇怪的好叭。所以就疯狂百度最终解决了这个问题 0x02 那么首先就需要使用:show variables like '%secure%';。去查看一下secu.
mysql load_file()
weixin_30292745的博客
04-22 571
本地mysql注入读取配置文件 遇到的问题 简单记录一下。 本地测试时,读取文件发现无论怎样都返回NULL。 >> select load_file('c:/xx/xx/xx/x.txt'); 原因是mysql的secure_file_priv的新特性。 mysql新版本下 secure_file_priv字段:secure_file_priv参数是用来限制LOAD DATA...
【IO】FileOutputStream
yhl_jxy的博客
02-11 5098
FileOutputStream概述 FileOutputStream往文件中写入字节流,父类为OutputStream, 所以可以将FileOutputStream赋值给OutputStream使用。 二 FileOutputStream使用分析 FileOutputStream父类为OutputStream,其源码结构如下, 构造器: public FileOutputStre
mysqlload_file_mysql load_file()
weixin_33986223的博客
01-25 429
本地mysql注入读取配置文件 遇到的问题 简单记录一下。本地测试时,读取文件发现无论怎样都返回NULL。>> select load_file('c:/xx/xx/xx/x.txt');原因是mysql的secure_file_priv的新特性。mysql新版本下 secure_file_priv字段:secure_file_priv参数是用来限制LOAD DATA,SELECT ...
浅析centos 7 mysql-8.0.19-1.el7.x86_64.rpm-bundle.tar
12-15
百度云盘: ...安装说明: ...操作记录 mkdir mysql 40 ll ... 45 tar -xvf mysql-8.0.19-1.el7.x86_64.rpm-bundle.tar 46 ll 47 rpm -ivh mysql-community-common-8.0.19-1.el7.x86_64.rpm --nodeps
CentOS-7-x86_64-Minimal-2207-02.iso
09-30
CentOS 7.6 iso镜像,精简版
CentOS-7-x86_64-bin-DVD1.iso
11-18
迅雷高速下载通道 CentOS-6.1-x86_64-bin-DVD1.iso...CentOS-7-x86_64-bin-DVD2.iso CentOS-8.2-x86_64-bin-DVD1.iso 除DVD版还有各个minimal等版本提供高速下载 下载地址,提供了迅雷的高速下载通道,实测速度为31M/S,
Mysql注入中的outfile、dumpfileload_file函数详解
01-19
在利用sql注入漏洞后期,最常用的就是通过mysqlfile系列函数来进行读取敏感文件或者写入webshell,其中比较常用的函数有以下三个 into dumpfile() into outfile() load_file() 我们本次的测试数据如下 读写文件函数调用的限制 因为涉及到在服务器上写入文件,所以上述函数能否成功执行受到参数 secure_file_priv 的影响。官方文档中的描述如下 翻译一下就是 其中当参数 secure_file_priv 为空时,对导入导出无限制 当值为一个指定的目录时,只能向指定的目录导入导出 当值被设置为NULL时,禁止导
load_file参考资料
06-02
load_file参考资料 从exploit.db上找到的资料 load_file参考资料 从exploit.db上找到的资料
load_file() 常用敏感信息.txt
07-18
load_file() 常用敏感信息
CentOS-7-x86_64-Minimal-1810.iso
07-17
CentOS(Community Enterprise Operating System,中文意思是社区企业操作系统)是Linux发行版之一,它是来自于Red Hat Enterprise Linux依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码,因此有些...
CentOS7安装MySQL8.0图文教程
11-30
CentOS7 安装 MySQL8.0 图文教程 本文将指导读者在 CentOS7 系统中安装 MySQL 8.0,以下是安装过程中需要注意的知识点: 1. 下载 MySQL 安装包:在 MySQL 官方网站下载 MySQL 8.0 安装包,选择 Red Hat 作为操作...
mysql -- outfile/dumpfile/load_file
Nixawk
05-30 2282
mysql> select User,Password from mysql.user; +------------------+-------------------------------------------+ | User             | Password                                  | +------------------+--
mysql load file_MySQL使用LOAD_FILE()函数方法总结
weixin_35141284的博客
01-27 6332
mysql中,load_file()函数读取一个文件并将其内容作为字符串返回。语法load_file(file_name)其中file_name是文件的完整路径。下面是我从一个文件中选择内容的示例:select load_file('/data/test.txt') as result;结果:+------------------------------------------+| result...
MySQL中的load_file()如何去使用
qq_50679242的博客
03-17 5254
MySQLload_file使用方法 我真的为了可以再MySQL中保存图片花了好久时间,希望可以帮助到朋友们,让你们不要浪费这么多时间。 首先我们可以再cmd中使用“ show global VARIABLES like ‘%secure%’; ”语句,会得到以下结果(默认情况下哈) mysql> show global VARIABLES like ‘%secure%’; ±--------------------------------±---------------------------
MYSQL注入中load_file()函数的进一步应用
收集盒 Book box
04-29 593
<br /><br />文章已发表于《黑客防线》2008年第11期 转载请注明<br /> <br />MYSQL注入中,load_file()函数在获得webshell以及提权过程中起着十分重要的作用,常被用来读取各种配置文件,如:<br />/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件<br />/usr/local/apache2/conf/httpd.conf<br />/usr/local/app/apache2/conf/extra
centos7 mysql8.0安装配置
09-01
### 回答1: 首先,确保您已经安装了CentOS7MySQL8.0版本,然后请运行以下命令来配置MySQL:sudo mysql_secure_installation,接着按照提示操作即可完成MySQL的安装和配置。 ### 回答2: CentOS 7 是一种常见的 Linux 操作系统,MySQL 8.0 是一种流行的关系型数据库管理系统。安装和配置MySQL 8.0 可以按照以下步骤进行: 1. 首先,确保你已经在 CentOS 7 系统上安装了必要的软件包和依赖项: ``` sudo yum update // 更新系统软件包 sudo yum install wget // 安装 wget sudo yum install yum-utils ``` 2. 接下来,下载 MySQL 8.0 的 Yum 存储库配置文件并将其复制到 `/etc/yum.repos.d/` 目录中: ``` sudo wget https://dev.mysql.com/get/mysql80-community-release-el7-3.noarch.rpm sudo rpm -Uvh mysql80-community-release-el7-3.noarch.rpm ``` 3. 安装 MySQL 8.0: ``` sudo yum install mysql-server ``` 4. 一旦安装完成,启动 MySQL 服务并将其设置为随系统启动时自动启动: ``` sudo systemctl start mysqld // 启动 MySQL 服务 sudo systemctl enable mysqld // 设置 MySQL 服务自动启动 ``` 5. 运行初始安全设置并为 MySQL 8.0 设置密码: ``` sudo mysql_secure_installation ``` 6. 登录 MySQL 数据库: ``` sudo mysql -u root -p ``` 7. 进入 MySQL shell 后,可以创建新的数据库、表格和用户等操作: ``` CREATE DATABASE mydatabase; USE mydatabase; CREATE TABLE mytable (id INT, name VARCHAR(20)); CREATE USER 'myuser'@'localhost' IDENTIFIED BY 'mypassword'; GRANT ALL PRIVILEGES ON mydatabase.* TO 'myuser'@'localhost'; ``` 通过以上步骤,你就可以在 CentOS 7 上成功安装和配置 MySQL 8.0,并开始使用它进行数据库操作了。当然,在实际操作中,还可能涉及到更多细节和个性化的需求,需要根据具体情况进行相应的调整和配置。 ### 回答3: CentOS 7安装和配置MySQL 8.0的步骤如下: 1. 首先,我们需要确保CentOS 7的软件包管理工具是最新的。可以通过运行以下命令来更新: ``` sudo yum update ``` 2. 接下来,我们可以使用以下命令安装MySQL 8.0的存储库: ``` sudo yum localinstall https://dev.mysql.com/get/mysql80-community-release-el7-1.noarch.rpm ``` 3. 安装完存储库后,我们可以使用以下命令安装MySQL服务器: ``` sudo yum install mysql-server ``` 4. 安装完成后,我们可以使用以下命令启动MySQL服务,并设置开机自启动: ``` sudo systemctl start mysqld sudo systemctl enable mysqld ``` 5. 接下来,我们需要运行以下命令获取MySQL的临时初始密码: ``` sudo grep 'temporary password' /var/log/mysqld.log ``` 6. 使用以下命令登录MySQL并更改初始密码: ``` mysql -u root -p ALTER USER 'root'@'localhost' IDENTIFIED BY '新密码'; ``` 7. 随后,我们可以创建新的MySQL用户并授予所需的权限: ``` CREATE USER '用户名'@'localhost' IDENTIFIED BY '密码'; GRANT ALL PRIVILEGES ON *.* TO '用户名'@'localhost' WITH GRANT OPTION; FLUSH PRIVILEGES; ``` 8. 最后,我们可以通过编辑MySQL的配置文件来进行进一步的配置。该文件位于以下位置: ``` /etc/my.cnf ``` 可以根据需要更改各种设置,如端口号、字符编码等。 以上是在CentOS 7上安装和配置MySQL 8.0的基本步骤。根据具体需求和环境,可能需要执行其他额外的配置步骤或安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值