Mycat 防火墙配置
ip 白名单和 SQL 黑名单说明(在 server.xml 中配置)
<firewall>
<whitehost>
# IP 白名单(只允许 xx 用户登录的 IP)
<host user="mycat" host="127.0.0.1"></host>
</whitehost>
<blacklist check="true">
# 黑名单允许的权限(其它默认)
<property name="selelctAllow">false</property>
</blacklist>
</firewall>
·
SQL 黑名单拦截明细配置
| 配置项 | 缺省值 | 描述 |
|---|---|---|
| selelctAllow | TRUE | 是否允许执行 SELECT 语句。 |
| deleteAllow | TRUE | 是否允许执行 DELETE 语句。 |
| updateAllow | TRUE | 是否允许执行 UPDATE 语句。 |
| insertAllow | TRUE | 是否允许执行 INSERT 语句。 |
| selectAllColumnAllow | TRUE | 是否允许执行 SELECT * FROM T 这样的语句。这个选项是防御程序通过调用 select * 获得数据表的结构信息。 |
| selectIntoAllow | TRUE | SELECT 查询中是否允许 INTO 字句。 |
| setAllow | TRUE | 是否允许使用 SET 语法。 |
| replaceAllow | TRUE | 是否允许执行 REPLACE 语句。 |
| mergeAllow | TRUE | 是否允许执行 MERGE 语句。(只在 Oracle 中有用) |
| createTableAllow | TRUE | 是否允许创建表。 |
| alterTableAllow | TRUE | 是否允许执行 ALTER TABLE 语句。 |
| dropTableAllow | TRUE | 是否允许修改表。 |
| useAllow | TRUE | 是否允许执行 mysql 的 USE 语句。 |
| describeAllow | TRUE | 是否允许执行 mysql 的 DESCRIBE 语句。 |
| showAllow | TRUE | 是否允许执行 mysql 的 SHOW 语句。 |
| commitAllow | TRUE | 是否允许执行 COMMIT 操作。 |
| rollbackAllow | TRUE | 是否允许执行 ROLL BACK 操作。 |
| callAllow | TRUE | 是否允许通过 jdbc 的 call 语法调用存储过程。 |
| truncateAllow | TRUE | truncate 语句是危险,若需要自行关闭。 |
| commentAllow | FALSE | 是否允许语句中存在注释,Oracle 的用户不用担心,Wall 能够识别 hints 和注释的区别。 |
| noneBaseStatementAllow | FALSE | 是否允许非以上基本语句的其他语句。通过这个选项就能够屏蔽 DDL。 |
| multiStatementAllow | FALSE | 是否允许一次执行多条语句。 |
·
拦截配置-永真条件
| 配置项 | 缺省值 | 描述 |
|---|---|---|
| selectWhereAlwayTrueCheck | TRUE | 检查 SELECT 语句的 WHERE 子句是否是一个永真条件。 |
| selectHavingAlwayTrueCheck | TRUE | 检查 SELECT 语句的 HAVING 子句是否是一个永真条件。 |
| deleteWhereAlwayTrueCheck | TRUE | 检查 DELETE 语句的 WHERE 子句是否是一个永真条件。 |
| deleteWhereNoneCheck | FALSE | 检查 DELETE 语句是否无 WHERE 条件。这是有风险的,但不是 SQL 注入类型的风险。 |
| updateWhereAlayTrueCheck | TRUE | 检查 UPDATE 语句的 WHERE 子句是否是一个永真条件。 |
| updateWhereNoneCheck | FALSE | 检查 UPDATE 语句是否无 WHERE 条件。这是有风险的,但不是SQL 注入类型的风险。 |
| conditionAndAlwayTrueAllow | FALSE | 检查查询条件(WHERE/HAVING 子句)中是否包含 AND 永真条件。 |
| conditionAndAlwayFalseAllow | FALSE | 检查查询条件(WHERE/HAVING 子句)中是否包含 AND 永假条件。 |
| conditionLikeTrueAllow | TRUE | 检查查询条件(WHERE/HAVING 子句)中是否包含 LIKE 永真条件。 |
·
其他拦截配置
| 配置项 | 缺省值 | 描述 |
|---|---|---|
| selectIntoOutfileAllow | FALSE | SELECT … INTO OUTFILE 是否允许。这个是 mysql 注入攻击的常见手段。 |
| selectUnionCheck | TRUE | 检测 SELECT UNION。 |
| selectMinusCheck | TRUE | 检测 SELECT MINUS。 |
| selectExceptCheck | TRUE | 检测 SELECT EXCEPT。 |
| selectIntersectCheck | TRUE | 检测 SELECT INTERSECT。 |
| mustParameterized | FALSE | 是否必须参数化。如果为 |
| strictSyntaxCheck | TRUE | 是否进行严格的语法检测,Druid SQL Parser 在某些场景不能覆盖所有的 SQL 语法,出现解析 SQL 出错,可以临时把这个选项设置为 |
| conditionOpXorAllow | FALSE | 查询条件中是否允许有 XOR 条件。XOR 不常用,很难判断永真或者永假,缺省不允许。 |
| conditionOpBitwseAllow | TRUE | 查询条件中是否允许有"&"、"~"、" |
| conditionDoubleConstAllow | FALSE | 查询条件中是否允许连续两个常量运算表达式。 |
| minusAllow | TRUE | 是否允许 SELECT * FROM A MINUS SELECT * FROM B 这样的语句。 |
| intersectAllow | TRUE | 是否允许 SELECT * FROM A INTERSECT SELECT * FROM B 这样的语句 。 |
| constArithmeticAllow | TRUE | 拦截常量运算的条件,比如说 WHERE FID = 3 - 1,其中"3 - 1"是常量运算表达式。 |
| limitZeroAllow | FALSE | 是否允许 limit 0 这样的语句。 |
禁用对象检测配置
| 配置项 | 缺省值 | 描述 |
|---|---|---|
| tableCheck | TRUE | 检测是否使用了禁用的表。 |
| schemaCheck | TRUE | 检测是否使用了禁用的 Schema。 |
| functionCheck | TRUE | 检测是否使用了禁用的函数。 |
| objectCheck | TRUE | 检测是否使用了“禁用对对象”。 |
| variantCheck | TRUE | 检测是否使用了“禁用的变量”。 |
| readOnly | \ | 指定的表只读,不能够在 SELECT INTO、DELETE、UPDATE、INSERT、MERGE 中作为"被修改表"出现。 |
·
示例:只允许 xx IP 的主机登陆,并且不允许执行 SELECT *操作
<firewall>
<whitehost>
<host host="自己指定 IP" user="test"></host>
</whitehost>
<blacklist check="true">
<property name="selectAllColumnAllow">false</property>
</blacklist>
</firewall>
扫一扫
366
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
