mysql 安全问题_15.Mysql中的安全问题

最新推荐文章于 2023-09-21 19:09:00 发布
最新推荐文章于 2023-09-21 19:09:00 发布
阅读量79 收藏
点赞数
文章标签: mysql 安全问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30962449/article/details/113217556
版权

15.SQL中的安全问题

15.1 SQL注入简介

SQL是用来和数据库交互的文本语言。

SQL注入(SQL Injection)是利用数据库的外部接口将用户数据插入到实际的SQL中,以达到入侵数据库乃至操作系统的目的。

产生的原因主要由于程序没有对用户输入数据进行严格的过滤,导致非法SQL语句的执行。

SQL注入可能的危害包括:读取、修改、删除数据,获取用户名、密码等信息,获取管理员权限等。

SQL注入很难防范,不能通过操作系统补丁、数据库升级、防火墙进行拦截。

例子:

select * from user where username='$username' and password='$password'

传入参数$username未进行校验时,传入username ' or '1=1,将导致sql被改写为:

select * from user where username='username' or 1=1 and password='password'

将导致用户名和密码全部失效。

或者 传入注释符 username '/*或username '#,将导致sql被改写为:

select * from user where username='username'/*

select * from user where username='username'#

导致密码失效。

15.2 应用开发中可以采取的应对措施

15.2.1 PrepareStatement+Bind-Variable(预编译+绑定变量)

在Mysql上使用绑定变量可有效避免SQL注入。

Java中preparedStatement可有效对单引号进行转义,从而导致非法输入的变量拼接成SQL后,导致SQL报错,防止SQL注入。

15.2.2 使用应用程序提供的转换函数

使用对特殊字符转换的函数来过滤特殊字符,如mysql_real_escape_string()。

15.2.3 自己定义函数进行校验

自行编写输入校验函数,使用正则表达式校验非法输入。

已知非法字符包括:' ; = ( ) /* */ % + "" > < -- [ ]

15.3 小结

MyBatis中要注意$符。

清荔枝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
谈一谈有关 MySQL 数据库数据安全问题
Java_LingFeng的博客
01-15 351
以前去企业面试的时候,经常被问一些关于 MySQL 数据库相关的问题,其最典型的就是关于 MySQL 数据库数据安全问题。 例如:如何才能保证 MySQL 数据库的数据安全MySQL 数据库如果发生数据丢失可能会发生在什么地方?如果 MySQL 数据库出现了数据丢失该如何挽救?
mysql-server_5.7.30-1ubuntu18.04_amd64.deb-bundle
10-07
安装"mysql-server_5.7.30-1ubuntu18.04_amd64.deb-bundle"包的过程,系统会自动处理依赖关系,安装必要的库和服务。在Ubuntu上,你可以使用`dpkg`或`apt`命令来安装DEB包。安装完成后,你需要初始化数据库并设置...
mysql安全问题_mysql安全问题
weixin_35886636的博客
01-19 103
mysql 用户目录下,除了数据文件目录,其他文件和目录属主都改为root删除空账号 drop user ‘‘@‘localhost‘;给root 设置口令在[client]写入user=‘‘,password=‘密码‘ ;然后chmod +600 my.cnf(控制权限)只授予账号必须的权限grant all privileges on lina.* to ‘qifan‘@‘localhost...
MySQL下的安全问题--.mysql_history你注意到了吗?
dimingchan的专栏
05-06 174
MySQL下的安全问题--.mysql_history你注意到了吗? 今天不小心在/root目录下看到一个关于mysql的隐藏文件--.mysql_history,因为以前从没有注意过,遂打开看看是什么玩意。不想到打开吓了一跳,这个文件将我连接mysql的所有操作都记录下来了,包括创建用户及修改用户的明码密码等等。这还了得,万一被人攻击了,那么数据库还不死翘翘了!经查询资料发现这个文件是在编...
mysql 安全问题_mysql 数据库管理安全问题(一)
weixin_39551611的博客
02-27 201
从网上看到一些帖子,面试者被问到如何认识mysql数据库的安全问题。很多安全问题都是由于对账号管理不妥当造成的。 1 删除匿名账号 在mysql版本,安装完mysql后,默认会有一个匿名账号,只有执行mysql命令就能登录上去。如下: 直接执行mysql 登录上数据库从网上看到一些帖子,面试者被问到如何认识mysql数据库的安全问题。很多安全问题都是由于对账号管理不妥当造成的。1 删除匿名账号在...
mysql有哪些安全问题_MySQL--SQL安全问题
weixin_32571761的博客
02-08 203
---恢复内容开始---1) SQL 注入简介SQL 注入(SQL Injection) 就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQL)当,从而达到入侵数据库乃至操作系统的目的。他的产生主要是由程序对用户输入的数据没有进行严格的过滤,导致非法数据库查询语句执行。2) 应用开发可以采取的应对措施PrepareStatement + Bind-VariableMySQ...
pdo_mysql.rar_PDO_pdo_mysql.so
09-23
标题的"pdo_mysql.rar_PDO_pdo_mysql.so"暗示了我们正在处理与PHP的数据持久化对象(PDO)扩展,特别是其MySQL驱动(PDO_MYSQL)相关的文件。PDO是一种在PHP连接多种数据库的标准接口,而pdo_mysql.so是这个扩展的...
MySQL-Front_V5.4.4.153_Setup.rar
11-21
MySQL-Front是一款强大的MySQL数据库管理工具,专为MySQL开发人员设计。它提供了用户友好的图形界面,使得数据库的管理和操作更为便捷。这个压缩包“MySQL-Front_V5.4.4.153_Setup.rar”包含的是MySQL-Front的安装...
MySQL_5.1_zh.zip
07-06
在这个文件,用户可以找到关于MySQL 5.1的安装指南、配置选项、SQL语法、管理工具、存储引擎、备份与恢复、性能优化等全方位的知识。 `MySQL_5.1_zh.chw`文件可能是词典或索引文件,用于快速查找CHM文件的内容...
MySQL_5.1_zh.rar_MYSQL_MySQL_5.1_zh_mysql
09-21
MySQL_5.1_zh.rar 是一个包含 MySQL 5.1 版本文文档的压缩文件,主要提供了关于 MySQL 数据库管理系统在5.1版本的详细说明。MySQL 是一款广泛使用的开源关系型数据库系统,以其高效、稳定和易用性闻名。在 MySQL...
Mysql数据库安全问题【防注入】
hann的专栏
10-12 3108
一、SQL注入实例后台的插入语句代码:$unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')"); 当POST的内容为:value'); DROP TABLE table;--以上的整个SQL查询语句变成:INSERT IN
mysql安全问题_MySQL安全问题的一点心得
weixin_30545587的博客
01-19 155
前两天在帮朋友整理他的主页空间时候,发现的一点关于MySQL可能大家都会忽略的问题:我们知道,在安装完MySQL后,它会自动创建一个root用户和一个匿名用户,其初始密码都是空,对于前者,很多参考资料上都会提醒大家要注意及时设定一个密码,而忽略了后者,大概是因为后者默认设定为只能在本机使用的缘故吧。但如果你的MySQL是要提供给Web服务器作数据库服务的,忽略这个匿名用户的代价可能相当惨重,因为在...
Mysql 安全问题
Davis_mega的博客
04-05 388
在获取$_GET,$_POST数据时,判断get_magic_quotes_gpc()是否开启,若开始,使用stripslashes()去掉转义字符,获取干净的数据。然后在操作数据库时,再用addslashes()转义。 //获取干净字符方法 function getStrNoSlashes($name,$default="",$toEncoding="") { if(isset($_RE
MySQL 安全问题
时光钟摆
10-09 425
对于任何一种数据库来说,安全问题都是非常重要的。如果数据库出现安全漏洞,轻则数据被窃取,重则数据被破坏,这些后果对于一些重要的数据库都是非常严重的。下面来从操作系统和数据库两个层对MySQL安全问题进行讨论。 操作系统相关的安全问题 常见的操作系统安全问题主要出现在MySQL 的安装和启动过程. 1、严格控制操作系统账号和权限 在数据库服务器上要严格控制操作系统的账号和权限,比如: ...
MySQL安全问题
最新发布
m0_67428300的博客
09-21 282
这些是一些保护MySQL数据库的基本安全措施,但数据库安全是一个广泛的话题,还有其他更高级的安全措施可以根据特定需求采用。请注意,备份和还原数据库是一项关键的管理任务,需要小心谨慎地执行,以确保数据的完整性和安全性。同时,还原数据库将覆盖目标数据库的数据,请确保在执行还原操作之前进行必要的备份和确认。启用MySQL的审计和日志记录功能,以监视数据库活动和检测潜在的安全问题。确保物理服务器受到适当的物理安全措施的保护,以防止未经授权的物理访问。定期更改数据库用户的密码,以减少密码被猜测或破解的风险。
【cnblogs_chenqionghe】Mysql安全问题
lelemom的博客
11-04 157
MySQL安全问题(防范必知)    
mysql------安全问题
Z_Grant的博客
08-12 468
文章目录一, information_schema 数据库1. 库,表 ,表结构,数据 一, information_schema 数据库 information_schema 数据库:mysql 5.0以上版本所有 作用:放架构信息,是一个“字典”(存放各个用户的权限,每个数据库的内容) SQL注入时会经常对这个数据库操作 —>通过SQL语句可以获知后台系统有那些表,库,内容 【...
MySQL--SQL安全问题
weixin_30954265的博客
04-06 108
---恢复内容开始--- 1) SQL 注入简介   SQL 注入(SQL Injection) 就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQL)当,从而达到入侵数据库乃至操作系统的目的。他的产生主要是由程序对用户输入的数据没有进行严格的过滤,导致非法数据库查询语句执行。 2) 应用开发可以采取的应对措施 PrepareStatement + Bi...
14.MySQL安全问题
姑苏的博客
09-03 434
文章目录1.SQL注入简介2.应用可以采取的应对措施2.1PrepareStatement+Bind-variabel2.2使用应用程序提供的转换函数2.3自己定义感受进行校验 1.SQL注入简介 结构化查询语言(SQL)是一种用来和数据库交互的文本语言。SQL Injection就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQL),从而达到入侵数据库乃至操作系统的目的。他的产生主要是由于程序对用户输入的数据没有进行严格的过滤,导致非法数据库柴新建语句的的执行。 SQL注入如有很大
php.ini pdo_mysql.default_socket
09-14
### 回答1: `pdo_mysql.default_socket` 是 PHP 的配置选项之一,它用于指定 MySQL 数据库服务器的 Unix 套接字文件路径。当使用 PDO 连接 MySQL 数据库时,如果没有手动指定连接参数的 Unix 套接字路径,那么 PDO 将会使用 `pdo_mysql.default_socket` 指定的路径作为默认值。 如果你的 MySQL 数据库服务器安装在默认的位置,并且 PHP 和 MySQL 安装在同一台服务器上,你可以将 `pdo_mysql.default_socket` 设置为 `/var/run/mysqld/mysqld.sock`,这是许多 Linux 系统上 MySQL 默认的 Unix 套接字路径。如果你的 MySQL 数据库服务器安装在不同的位置,你需要根据实际情况修改 `pdo_mysql.default_socket` 的值。 你可以通过修改 `php.ini` 文件来设置 `pdo_mysql.default_socket`。在 `php.ini` 文件搜索 `pdo_mysql.default_socket`,并将其设置为你需要的 Unix 套接字路径。如果你不知道 Unix 套接字文件的路径,可以通过运行 `mysql_config --socket` 命令来获取。 ### 回答2: php.ini是PHP的配置文件之一,它用于配置PHP的运行参数和选项。而pdo_mysql.default_socket是php.ini的一个设置,用于指定PDO使用的MySQL套接字文件的路径。 MySQL套接字文件是MySQL数据库连接的一种方式,通过套接字文件,PHP可以与MySQL进行通信和交互。这个设置允许我们指定套接字文件的路径,以便PHP可以正确地连接到MySQL数据库。 在php.ini文件,当pdo_mysql.default_socket没有设置时,PHP会尝试使用默认的套接字文件路径。这个默认的路径通常是由MySQL服务器的安装位置确定的。然而,如果MySQL服务器的安装位置不同,或者我们希望使用不同的套接字文件,就需要通过修改php.ini文件来指定pdo_mysql.default_socket的值。 例如,如果我们的MySQL服务器安装在/usr/local/mysql目录下,而默认的套接字文件路径是/tmp/mysql.sock,我们可以通过修改php.ini的pdo_mysql.default_socket参数来指定新的套接字文件路径,如下所示: pdo_mysql.default_socket = /usr/local/mysql/mysql.sock 这样一来,PHP在连接MySQL数据库时就会使用我们指定的套接字文件路径。 总之,pdo_mysql.default_socket是php.ini用于指定PDO使用的MySQL套接字文件路径的设置。根据实际需要,我们可以通过修改php.ini文件来设置该值,以确保PHP能够正确地连接到MySQL数据库。 ### 回答3: php.ini是PHP的配置文件,用于配置PHP运行环境的各种参数和选项。其的pdo_mysql.default_socket是一个用于指定PDO连接MySQL数据库所使用的Unix套接字文件路径的选项。 由于PHP在连接MySQL数据库时,默认使用的是MySQL的TCP/IP协议进行通信,所以pdo_mysql.default_socket选项默认为空。这种情况下,PHP通过TCP/IP连接MySQL数据库,在连接字符串指定MySQL服务器的IP地址和端口号。 如果想要使用Unix套接字文件进行连接,可以通过修改php.ini文件pdo_mysql.default_socket的值来实现。例如,可以将pdo_mysql.default_socket的值设置为"/tmp/mysql.sock",表示连接MySQL数据库的时候使用套接字文件"/tmp/mysql.sock"。 使用Unix套接字文件连接MySQL数据库相对于TCP/IP连接有一些优势,如更快的速度、更高的安全性和更少的资源占用。因此,在某些情况下,使用Unix套接字文件连接MySQL数据库可能会更加适用。 需要注意的是,修改php.ini文件后,需要重启Web服务器或者PHP-FPM才能使修改生效。此外,还可以在代码使用ini_set()函数来修改pdo_mysql.default_socket的值,在连接MySQL数据库之前进行动态配置。 综上所述,pdo_mysql.default_socket是用于指定PDO连接MySQL数据库所使用的Unix套接字文件路径的选项,在需要使用Unix套接字文件进行连接时,可以通过修改php.ini文件的该选项的值来实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值