V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LinkedIn
litter123
V2EX  ›  程序员

如果一个 mysql 的库没有储存用户名和密码,而且连接这个库的用户仅限于操作此库,还有必要做防注入吗?

  •  
  •   litter123 · 2017-07-11 18:04:32 +08:00 · 2961 次点击
    这是一个创建于 1902 天前的主题,其中的信息可能已经有所发展或是发生改变。
    8 条回复    2017-07-12 10:01:40 +08:00
    oh
        1
    oh  
       2017-07-11 18:48:56 +08:00
    不怕来个 delete from TABLE where 1=1 就行
    notreami
        2
    notreami  
       2017-07-11 18:56:50 +08:00
    直接来个爆库,或者先写 500 个 G 的数据,看看磁盘大小。
    cxbig
        3
    cxbig  
       2017-07-11 19:23:34 +08:00
    注入有多个层级的危害。最轻的是盗取或破坏该数据库的内容,所以要防注入。
    claysec
        4
    claysec  
       2017-07-11 19:29:08 +08:00
    ```php
    http://exploitable-web.com/link.php?id=1' union select 1,2,(select tab1 from (select decode(encode(convert(compress(post) using latin1),des_encrypt(concat(post,post,post,post),8)),des_encrypt(sha1(concat(post,post,post,post)),9)) as tab1 from table_1)a),4--
    ```
    走好不送
    fanyuxi
        5
    fanyuxi  
       2017-07-11 23:28:07 +08:00 via Android
    从删库到跑路。
    virusdefender
        6
    virusdefender  
       2017-07-12 00:04:31 +08:00
    sql 注入某些时候可以弹 shell 的。。
    msg7086
        7
    msg7086  
       2017-07-12 03:41:12 +08:00
    没什么必要防止注入。代码从一开始就写正确的话本来就不会有注入漏洞,何须去防。
    ToBeHacker
        8
    ToBeHacker  
       2017-07-12 10:01:40 +08:00
    注入肯定是要防的啊,这可是底层数据啊。即使没有什么价值,也可能将你的服务器搞瘫使其他服务也不能用。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4549 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 47ms · UTC 03:27 · PVG 11:27 · LAX 20:27 · JFK 23:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.