本文讨论了LoadData Local命令的安全隐患,该命令允许加载本地文件到MySQL数据库。在Web环境中,此功能可能导致安全风险,因为用户可以通过Web服务器访问任意文件。文章建议通过设置--local-infile=0来禁用此功能。
load data默认读的是服务器上的文件,但是加上local参数后,就可以将本地具有访问权限的文件加载到数据库中,这在带来方便的同时,也带来了以下安全问题,
可以任意加载本地文件到数据库,
在web环境中,客户从web服务器连接,用户可以使用load data local语句来读取web服务器进程有访问权限的任何文件,
解决办法:--local-infile=0 选项启动mysqld 从服务器端禁用所有的load data local 命令。
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
