load data默认读的是服务器上的文件,但是加上local参数后,就可以将本地具有访问权限的文件加载到数据库中,这在带来方便的同时,也带来了以下安全问题,
可以任意加载本地文件到数据库,
在web环境中,客户从web服务器连接,用户可以使用load data local语句来读取web服务器进程有访问权限的任何文件,
解决办法:--local-infile=0 选项启动mysqld 从服务器端禁用所有的load data local 命令。
load data local带来的安全问题
原创
©著作权归作者所有:来自51CTO博客作者mb61273498c4ce2的原创作品,请联系作者获取转载授权,否则将追究法律责任
上一篇:不要把file,process或者super权限授予管理员以外的账号
下一篇:innobackupex: Connecting to MySQL server with DSN 'dbi:mysql
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
安全问题
下载文件是否进行了权限校验
下载文件 -
java接受excel中的时间怎么转换
在使用js-xlsx插件来读取excel时,会将2018/10/16这种数据自动装换成48264.12584511.所以需要自己手动再转换回来// excel读取2018/01/01这种时间格式是会将它装换成数字类似于46254.1545151415 numb是传过来的整数数字,format是之间间隔的符号 formatDate(numb, format) { const time = new D
java接受excel中的时间怎么转换 js让html转excel时间格式 日期格式转换 远程登录 日期格式
