當(dāng)前位置 : 首頁>軟件學(xué)院>數(shù)據(jù)庫>SQL>正文

GreenSQL助力防止SQL注入攻擊

http://m.yibo1263.com　2009/3/21 9:04:58 　來源:東北IT網(wǎng) 　編輯:葉子

# mysql -p
Enter password: 
Welcome to the MySQL monitor. Commands end with ; or \g.
mysql> GRANT ALL ON test.* TO ben@"%";
mysql> FLUSH PRIVILEGES;

默認情況下，GreenSQL運行在3305端口上，小于MySQL的默認端口（3306）。如果你使用mysql控制臺客戶端并連接到GreenSQL的3305 端口上，你將無法創(chuàng)建新表。如果你直接通過3306端口連接到MySQL,就可以創(chuàng)建新表。

$ mysql --verbose  -h  127.0.0.1 -P 3305 test
mysql> create table foo ( id int );
--------------
create table foo ( id int )
--------------
Query OK, 0 rows affected (0.01 sec)
mysql> insert into foo values ( 55 );
--------------
insert into foo values ( 55 )
--------------
ERROR 1146 (42S02): Table 'test.foo' doesn't exist
$ mysql --verbose  -h  127.0.0.1   -P 3306 test
Welcome to the MySQL monitor. Commands end with ; or \g.
mysql> create table foo ( id int );
--------------
create table foo ( id int )
--------------
Query OK, 0 rows affected (0.01 sec)
mysql> insert into foo values ( 55 );
--------------
insert into foo values ( 55 )
--------------
Query OK, 1 row affected (0.00 sec)
mysql> insert into foo values ( 131 );
--------------
insert into foo values ( 131 )
--------------
Query OK, 1 row affected (0.00 sec)
mysql>  select * from foo;
--------------
select * from foo
--------------
+------+
　 id   　
+------+
　   55 　 
　  131 　 
+------+
2 rows in set (0.00 sec)

　　如果使用默認配置，你將無法通過GreenSQL防火墻丟棄數(shù)據(jù)表。這倒無妨，因為表結(jié)構(gòu)不太可能經(jīng)常改變，更不可能通過Web界面改變。

$ mysql --verbose  -h  127.0.0.1   -P 3305 test
Welcome to the MySQL monitor. Commands end with ; or \g.
mysql>  select * from foo;
--------------
select * from foo
--------------
+------+
　 id   　
+------+
　   55 　 
　  131 　 
+------+
2 rows in set (0.00 sec)
mysql> drop table foo;
--------------
drop table foo
--------------
Query OK, 0 rows affected (0.00 sec)
mysql>  select * from foo;
--------------
select * from foo
--------------
+------+
　 id   　
+------+
　   55 　 
　  131 　 
+------+
2 rows in set (0.01 sec)

　　注入測試看來沒有如所期望的那樣正常工作。第一次測試是在條件一直為真時刪除表。這會清除表內(nèi)的所有數(shù)據(jù)，留下一個空表。默認地此查詢會通過防火墻進行：

$ mysql --verbose  -h  127.0.0.1   -P 3305 test
mysql> delete from foo where 1=1;
--------------
delete from foo where 1=1
--------------
Query OK, 2 rows affected (0.00 sec)
mysql>  select * from foo;
--------------
select * from foo
--------------
Empty set (0.00 sec)

　　對于上面的SQL刪除命令來說，/var/log/greensql.log文件包含了下面的信息：

SQL_DEBUG: QUERY command[]: delete from foo where 1=1
SQL_DEBUG: AFTER NORM   : delete from foo where ?=?
SQL_DEBUG: RISK         : 0

　　/etc/greensql/greensql.conf文件準許你設(shè)置某些內(nèi)容的風(fēng)險程度。例如，你可以將10指定給union關(guān)鍵字使用，或者在查詢中使用直接的變量比較（如同1=2之類的東西）。這些變量包括“block_level = 30”，所以RISK大于30的任何查詢都不轉(zhuǎn)發(fā)給MySQL服務(wù)器。為了讓GreenSQL標記出上面的查詢，筆者將risk_var_cmp_var 和 risk_always_true從默認的30增加至150。但很不幸，這次查詢看起來仍是風(fēng)險為零。

本新聞共3頁,當(dāng)前在第2頁 1 2 3

【收藏】【打印】【進入論壇】

相關(guān)文章：

·MySQL CEO加入基準基金公司

·MySQL創(chuàng)始人聯(lián)合14000人反對甲骨文收購Sun

·MySQL創(chuàng)始人呼吁用戶反對甲骨文收購Sun

·94%瀏覽器攻擊發(fā)生在漏洞公布的24小時之內(nèi)

·五大著名免費SQL注入漏洞掃描工具

·如何防御網(wǎng)站SQL注入

·SQL攻擊:防御和檢查SQL注入的手段

·解析SQL注入十大方式保護數(shù)據(jù)安全

·用SQL分離器實現(xiàn)sa弱口令強行入侵

·檢測SQL Server是否有特洛伊木馬

·使用SQL更改SQL 2005 sa用戶密碼的方法

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费