收到这个漏洞首先,第一时间去官网,官网说这个参数3.03版本就修复了。默认false值。想当然的认为没问题,分析版本一大波操作下来,最后看源码默认值true,坑爹的官网有错误,坑死老夫了,果断跟官网反映
allowLoadLocalInfile
Should the driver allow use of “LOAD DATA LOCAL INFILE …”?
Setting to “true” overrides whatever path is set in ‘allowLoadLocalInfileInPath’, allowing uploading files from any location.
Default Value | false |
---|---|
Since Version | 3.0.3 |
总结:处理方案很简单就是手动在连接后面明确设置为false就可以了,这样就不会有人伪造服务器导致漏洞了