本開始時作了小小的改動,默認安裝後服務要用MySQL用戶來啟動,不允許root用戶啟動。如果非要用root用戶來啟動,必須加上--user=root
的參數(./safe_mysqld --user=root &)。因為MySQL中有LOAD DATA INFILE和SELECT ... INTO OUTFILE的SQL語句,如果是root用戶啟動了
MySQL服務器,那麼,數據庫用戶就擁有了root用戶的寫權限。不過MySQL還是做了一些限制的,比如LOAD DATA INFILE只能讀全局可讀的文件
,SELECT ... INTO OUTFILE不能覆蓋已經存在的文件。
本地的日志文件也不能忽視,包括shell的日志和MySQL自己的日志。有些用戶在本地登陸或備份數據庫的時候為了圖方便,有時會在命令行參
數裡直接帶了數據庫的密碼,如:
shell>/usr/local/mysql/bin/MySQLdump -uroot -ptest test>test.sql
shell>/usr/local/mysql/bin/MySQL -uroot -ptest
這些命令會被shell記錄在歷史文件裡,比如bash會寫入用戶目錄的.bash_history文件,如果這些文件不慎被讀,那麼數據庫的密碼就會洩漏
。用戶登陸數據庫後執行的SQL命令也會被MySQL記錄在用戶目錄的.MySQL_history文件裡。如果數據庫用戶用SQL語句修改了數據庫密碼,也會
因.MySQL_history文件而洩漏。所以我們在shell登陸及備份的時候不要在-p後直接加密碼,而是在提示後再輸入數據庫密碼。
另外這兩個文件我們也應該不讓它記錄我們的操作,以防萬一。
shell>rm .bash_history .MySQL_history
shell>ln -s /dev/null .bash_history
shell>ln -s /dev/null .MySQL_history
上門這兩條命令把這兩個文件鏈接到/dev/null,那麼我們的操作就不會被記錄到這兩個文件裡了。
編程需要注意的一些問題
不管是用哪種程序語言寫連接MySQL數據庫的程序,有一條准則是永遠不要相信用戶提交的數據!
對於數字字段,我們要使用查詢語句:SELECT * FROM table WHERE ID='234',不要使用SELECT * FROM table WHERE ID=234這樣的查詢語句
。MySQL會自動把字串轉換為數字字符並且去除非數字字符。如果用戶提交的數據經過了MySQL_escape_string處理,這樣我們就可以完全杜絕
了sql inject攻擊,關於sql inject攻擊請參考下面鏈接的文章:
http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf
http://www.ngssoftware.com/papers/advanced_sql_injection.pdf
各種編程語言該注意的問題:
1)所有Web程序:
a)嘗試在Web表單輸入單引號和雙引號來測試可能出現的錯誤,並找出原因所在。
b)修改URL參數帶的%22 ('"'), %23 ('#'), 和 %27 (''')。
c)對於數字字段的變量,我們的應用程序必須進行嚴格的檢查,否則是非常危險的。
d)檢查用戶提交的數據是否超過字段的長度。
e)不要給自己程序連接數據庫的用戶過多的訪問權限。
2)PHP:
a)檢查用戶提交的數據在查詢之前是否經過addslashes處理,在PHP 4.0.3以後提供了基於MySQL C API的函數MySQL_escape_string()。
3)MySQL C API:
a)檢查查詢字串是否用了MySQL_escape_string() API調用。
4)MySQL++:
a)檢查查詢字串是否用了escape和quote處理。
5)Perl DBI:
a)檢查查詢字串是否用了quote()方法。
6)Java JDBC:
a)檢查查詢字串是否用了PreparedStatement對象。
4、一些小竅門
