GreenSQL助力防止SQL注入攻击-东北IT网

登录论坛 | 注册会员

设为首页 | 收藏本站

top

濠电偞鍨堕幐鑽ゅ垝瀹€鈧埀顒€鐏氭繛濠傤嚕閸洖绀冮柕濞垮灪閻庣洔T闂傚倸鍊搁崐鍫曞礉瀹ュ鏄ユ繛鎴炴皑閸楁岸鏌ㄩ悤鍌涘

闂備浇妗ㄩ悞锔界珶閸℃稒鍋夐柨鐕傛嫹

闂備礁缍婂ḿ褔顢栭崱妞绘敠闁逞嶆嫹

缂傚倷鐒﹂〃鍡椢涙笟鈧、娆撳炊椤掆偓鐎氬鏌ㄩ悤鍌涘

闂備礁鎼€氼剚鏅舵禒瀣︽慨妯挎硾闂傤垶鏌ㄩ悤鍌涘

闂備礁鎲″濠氬磻濞戙垹鐭楅柡鍥╁枎缁剁偤鏌″搴″⒒闁哥噦鎷�

闂備礁鎼悧鍡欑矓鐎涙ɑ鍙忛柣鏃傚帶闂傤垶鏌ㄩ悤鍌涘

濠殿喗宕块崨顓夛綁鏌ｉ弽鐢电М闁哄被鍔戦、娆撴倷椤掑偊绱�

闂備礁鎼悧鎰枍閿濆鏁婇柛顐犲劜閸嬨劑鏌涢…鎴濅簽闁绘牭鎷�

adtop

当前位置 : 首页>软件学院>数据库>SQL>正文

GreenSQL助力防止SQL注入攻击

http://www.dbit.cn　2009/3/21 9:04:58 　来源:东北IT网　编辑:叶子

# mysql -p
Enter password: 
Welcome to the MySQL monitor. Commands end with ; or \g.
mysql> GRANT ALL ON test.* TO ben@"%";
mysql> FLUSH PRIVILEGES;

默认情况下，GreenSQL运行在3305端口上，小于MySQL的默认端口（3306）。如果你使用mysql控制台客户端并连接到GreenSQL的3305 端口上，你将无法创建新表。如果你直接通过3306端口连接到MySQL,就可以创建新表。

$ mysql --verbose  -h  127.0.0.1 -P 3305 test
mysql> create table foo ( id int );
--------------
create table foo ( id int )
--------------
Query OK, 0 rows affected (0.01 sec)
mysql> insert into foo values ( 55 );
--------------
insert into foo values ( 55 )
--------------
ERROR 1146 (42S02): Table 'test.foo' doesn't exist
$ mysql --verbose  -h  127.0.0.1   -P 3306 test
Welcome to the MySQL monitor. Commands end with ; or \g.
mysql> create table foo ( id int );
--------------
create table foo ( id int )
--------------
Query OK, 0 rows affected (0.01 sec)
mysql> insert into foo values ( 55 );
--------------
insert into foo values ( 55 )
--------------
Query OK, 1 row affected (0.00 sec)
mysql> insert into foo values ( 131 );
--------------
insert into foo values ( 131 )
--------------
Query OK, 1 row affected (0.00 sec)
mysql>  select * from foo;
--------------
select * from foo
--------------
+------+
　 id   　
+------+
　   55 　 
　  131 　 
+------+
2 rows in set (0.00 sec)

　　如果使用默认配置，你将无法通过GreenSQL防火墙丢弃数据表。这倒无妨，因为表结构不太可能经常改变，更不可能通过Web界面改变。

$ mysql --verbose  -h  127.0.0.1   -P 3305 test
Welcome to the MySQL monitor. Commands end with ; or \g.
mysql>  select * from foo;
--------------
select * from foo
--------------
+------+
　 id   　
+------+
　   55 　 
　  131 　 
+------+
2 rows in set (0.00 sec)
mysql> drop table foo;
--------------
drop table foo
--------------
Query OK, 0 rows affected (0.00 sec)
mysql>  select * from foo;
--------------
select * from foo
--------------
+------+
　 id   　
+------+
　   55 　 
　  131 　 
+------+
2 rows in set (0.01 sec)

　　注入测试看来没有如所期望的那样正常工作。第一次测试是在条件一直为真时删除表。这会清除表内的所有数据，留下一个空表。默认地此查询会通过防火墙进行：

$ mysql --verbose  -h  127.0.0.1   -P 3305 test
mysql> delete from foo where 1=1;
--------------
delete from foo where 1=1
--------------
Query OK, 2 rows affected (0.00 sec)
mysql>  select * from foo;
--------------
select * from foo
--------------
Empty set (0.00 sec)

　　对于上面的SQL删除命令来说，/var/log/greensql.log文件包含了下面的信息：

SQL_DEBUG: QUERY command[]: delete from foo where 1=1
SQL_DEBUG: AFTER NORM   : delete from foo where ?=?
SQL_DEBUG: RISK         : 0

　　/etc/greensql/greensql.conf文件准许你设置某些内容的风险程度。例如，你可以将10指定给union关键字使用，或者在查询中使用直接的变量比较（如同1=2之类的东西）。这些变量包括“block_level = 30”，所以RISK大于30的任何查询都不转发给MySQL服务器。为了让GreenSQL标记出上面的查询，笔者将risk_var_cmp_var 和 risk_always_true从默认的30增加至150。但很不幸，这次查询看起来仍是风险为零。

本新闻共3页,当前在第2页 1 2 3

【收藏】【打印】【进入论坛】

183

·MySQL CEO加入基准基金公司

·MySQL创始人联合14000人反对甲骨文收购Sun

·MySQL创始人呼吁用户反对甲骨文收购Sun

·94%浏览器攻击发生在漏洞公布的24小时之内

·检测SQL Server是否有特洛伊木马

·使用SQL更改SQL 2005 sa用户密码的方法

推荐文章

2016年第五届中国国际POS机及相关设备展

互联网电视熟了吗 2013最火电视深解析

桑达获邀出席2015中国（广州）国际POS机

宝获利报名参加“2015年度中国POS机行业

八卦图解

More>>


叛逆嫩模性感写真	宫如敏不雅照疯传看张馨予韩一菲

周伟童魔鬼身材日本性感写真图	联想V360笔记本模特写真

闂佺ǹ绻愰崢鏍姳椤掑嫬瀚夋い鎺戝€昏ぐ锟� - 闂佽壈椴稿濠氭焾閹绢喖绠ｉ柟瀛樼矋缁拷 - 闂佸綊鏀辩粙鎴﹀矗閻戞ḿ鈻曞ù鑲╄ˉ閺€锟� - 濡ょ姷鍋涢悘婵嬪箟閿熺姴瀚夌€广儱鎳庨～锟� - 闂佸憡鐟ラ鍡涘磿韫囨稒鐓ｉ柣鎰靛墮婢讹拷

闁哄鐗忕粊顥㏄婵犮垼顔愰幏锟�06014875闂佸憡鐟遍幏锟�

Tel:024-88340056 Mob:13066598927 Email:WebMaster QQ:69424720

缂傚倸鍟崹褰掓偟閻ゃ弾缂傚倸娴勯幏锟�:缂傚倷绀佺换姗€寮ㄩ姀銈呯柈闁跨噦鎷�:65477551 闂佺懓鐏堥崑鎾绘煛閸偄鐏ｉ柛蹇ユ嫹:28526281 婵炲瓨绮岄張顒佹櫠濠婂牊鍋ㄥù锝呭暙婢癸拷:24536322 缂傚倸娲㈤崐娑氣偓姘虫珪鐎电厧顫濋崡鐐插籍:24815709 缂備焦姊归悷鈺呭汲鏉堚晝绀冮柨鐕傛嫹:8052026 婵炲瓨绮岄張顒佹櫠濠婂牊鍋ㄥù锝呭暙婢癸拷:57897142 缂傚倷绀佺换姗€寮ㄩ姀銈呯柈闁跨噦鎷�:20966008 濠电偞鎸搁幉锟犲垂濞嗘垹绀冮柨鐕傛嫹:65477153