MySQL中LOAD DATA LOCAL安全问题

• LOAD DATA语句可以装载服务器主机上的文件，若指定LOCAL关键字，可以装载客户端文件。

  支持LOCAL版本的LOAD DATA语句有两个可能的安全问题：

  · 由MySQL服务器启动文件从客户端向服务器主机的传输。理论上，打过补丁的服务器可以告诉客户端程序传输服务器选择的文件，而不是客户用LOAD DATA语句指定的文件。这样服务器可以访问客户端上客户有读访问权限的任何文件。

  · 在Web环境中，客户从Web服务器连接，用户可以使用LOAD DATA LOCAL来读取Web服务器进程有读访问权限的任何文件(假定用户可以运行SQL服务器的任何命令)。在这种环境中，MySQL服务器的客户实际上是Web服务器，而不是连接Web服务器的用户运行的程序。

  要处理这些问题，我们更改了MySQL 3.23.49和MySQL 4.0.2(Windows中的4.0.13)中的LOAD DATA LOCAL的处理方法：

  · 默认情况下，现在所有二进制分中的发MySQL客户端和库是用--enable-local-infile选项编译，以便与MySQL 3.23.48和以前的版本兼容。

  · 如果你从源码构建MySQL但没有使用--enable-local-infile选项来进行configure，则客户不能使用LOAD DATA LOCAL，除非显式调用mysql_options (...MYSQL_OPT_本地_INFILE，0)。参见25.2.3.48节，“mysql_options()”。

  · 你可以用--local-infile=0选项启动mysqld从服务器端禁用所有LOAD DATA LOCAL命令。

  · 对于mysql命令行客户端，可以通过指定--local-infile[=1]选项启用LOAD DATA LOCAL，或通过--local-infile=0选项禁用。类似地，对于mysqlimport，--local or -L选项启用本地数据文件装载。在任何情况下，成功进行本地装载需要服务器启用相关选项。

  · 如果你使用LOAD DATA LOCAL Perl脚本或其它读选项文件中的[client]组的程序，你可以在组内添加local-infile=1选项。但是，为了便面不理解local-infile的程序产生问题，则规定使用loose- prefix：

  ·[client]
  ·loose-local-infile=1

  ·如果LOAD DATA LOCAL INFILE在服务器或客户端被禁用，试图执行该语句的客户端将收到下面的错误消息：

  ERROR 1148: The used command is not
  allowed with this MySQL version

  （出处：急速软件下载学院）

• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• MySQL中LOAD DATA LOCAL安全问题 相关文章：
• ·Windows Vista停止报告程序问题的技巧方法
• ·Vista防火墙导致网络无法访问解决方法
• ·CSS常见问题和技巧总结
• ·XHTML标签写法应该注意的问题
• ·sqlldr加载数据到不同表的问题
• ·深入分析Windows操作系统死机问题
• ·详细分析操作系统死机的问题
• ·火拼QQ泡泡龙常见问题和解决办法
• ·彻底解决Windows Vista音量图标丢失问题
• ·远程工作站常见故障问题及排除方法
• MySQL中LOAD DATA LOCAL安全问题 相关软件
• ·《问道》V 1.37完整客户端
• ·时空英雄外传 问情篇
• ·《问道》V1.375-V1.376客户端升级补丁
• ·佛教常识问答
• ·厨房——长点学问
• ·对当代中国教育的拷问
• ·个人实盘外汇买卖百问百答
• ·执行－如何完成任务的学问
• ·直面中国的三农问题
• ·国家领导人答记者问2003

上一篇:轻松掌握MySQL数据库中已压缩表特征

下一篇:MySQL 中如何复位根用户密码

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐