如果一个 mysql 的库没有储存用户名和密码,而且连接这个库的用户仅限于操作此库,还有必要做防注入吗?

2017-07-11 18:04:32 +08:00
 litter123
3289 次点击
所在节点    程序员
8 条回复
oh
2017-07-11 18:48:56 +08:00
不怕来个 delete from TABLE where 1=1 就行
notreami
2017-07-11 18:56:50 +08:00
直接来个爆库,或者先写 500 个 G 的数据,看看磁盘大小。
cxbig
2017-07-11 19:23:34 +08:00
注入有多个层级的危害。最轻的是盗取或破坏该数据库的内容,所以要防注入。
claysec
2017-07-11 19:29:08 +08:00
```php
http://exploitable-web.com/link.php?id=1' union select 1,2,(select tab1 from (select decode(encode(convert(compress(post) using latin1),des_encrypt(concat(post,post,post,post),8)),des_encrypt(sha1(concat(post,post,post,post)),9)) as tab1 from table_1)a),4--
```
走好不送
fanyuxi
2017-07-11 23:28:07 +08:00
从删库到跑路。
virusdefender
2017-07-12 00:04:31 +08:00
sql 注入某些时候可以弹 shell 的。。
msg7086
2017-07-12 03:41:12 +08:00
没什么必要防止注入。代码从一开始就写正确的话本来就不会有注入漏洞,何须去防。
ToBeHacker
2017-07-12 10:01:40 +08:00
注入肯定是要防的啊,这可是底层数据啊。即使没有什么价值,也可能将你的服务器搞瘫使其他服务也不能用。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/374576

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX