mysql - 关闭 LOAD DATA INFILE 或 INTO OUTPUT-6ren

mysql - 关闭 LOAD DATA INFILE 或 INTO OUTPUT

转载作者：行者123 更新时间：2023-11-29 08:02:26

28

4

作为一个有安全意识的人，如果发生 SQL 注入(inject)，我希望将造成的损害降到最低。其中一种可能性是存在可以读取信息并将信息写入本地文件系统上的文件的查询。在安全漏洞的情况下，这显然是一个主要问题，并且这些命令的使用在日常使用中相当有限。或者，可以将其打开一段隔离的时间，以防我需要导入和导出数据，但我希望在任何其他时间将其显式关闭。我没有通过谷歌搜索或浏览 MySQL 手册找到允许我禁用此选项的特定设置。

我知道我可以轻松地撤销所有用户的权限，但我想要一个更简单的解决方案，默认情况下可以提高我的安全性(至少在这种特定情况下)。

有人知道在 MySQL 中停用任何文件交互的任何设置或方法吗？

谢谢!

最佳答案

http://dev.mysql.com/doc/refman/5.6/en/load-data.html说:

Also, to use LOAD DATA INFILE on server files, you must have the FILE privilege.

http://dev.mysql.com/doc/refman/5.6/en/select-into.html说:

The SELECT ... INTO OUTFILE 'file_name' form of SELECT writes the selected rows to a file. The file is created on the server host, so you must have the FILE privilege to use this syntax.

您还可以设置secure_file_priv配置变量:

By default, this variable is empty. If set to the name of a directory, it limits the effect of the LOAD_FILE() function and the LOAD DATA and SELECT ... INTO OUTFILE statements to work only with files in that directory.

在 Percona Server, secure_file_priv还有一个额外的用法:

When used with no argument, the LOAD_FILE() function will always return NULL. The LOAD DATA INFILE and SELECT INTO OUTFILE statements will fail with the following error: “The MySQL server is running with the –secure-file-priv option so it cannot execute this statement”.

关于mysql - 关闭 LOAD DATA INFILE 或 INTO OUTPUT，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/23415610/

28

4

0

文章推荐： mysql - 使用 SQL 从现有数据生成测试表

文章推荐： mysql - 如何设计数据库来处理与单个主键相关的列中的多个值？

文章推荐： mysql - 连接两个表后如何仅选择唯一的行

文章推荐： MySQL 多表子查询

c - 在 C 中实现 Shell : Output redirection is writing output file name to output file rather than command results
我正在用 C 语言实现一个带有输入和输出重定向的 shell。我可以成功进行输入重定向，但输出重定向不起作用。例如，如果我执行 ls > out.txt，则 out.txt 包含文本“out.txt”
output - 如何将 Pulumi Output 转换为字符串？
我正在处理创建 AWS API 网关。我正在尝试创建 CloudWatch Log 组并将其命名 API-Gateway-Execution-Logs_${restApiId}/${stageName
php: output[] w/join vs $output .=
我正在修改原作者使用数组构建网页的一些代码: $output[]=$stuff_from_database; $output[]='more stuff'; // etc echo join(
linux - "sort < output"和 "sort output"之间的区别
我只想知道它们之间的区别: sort < output 和 sort output 在 Linux 中。它是如何工作的？最佳答案这已经在 unix.stackexchange 上讨论过:Perfo
C# : Redirect console application output : How to flush the output?
我正在生成外部控制台应用程序并使用异步输出重定向。 as shown in this SO post 我的问题是，在我收到 OutputDataReceived 事件通知之前，生成的进程似乎需要产生一
Angular 2/ typescript : @Input/@output or input/output?
在 Udemy 上开设类(class)时，我们一直允许使用组件类中的 @Input() 装饰器向组件传递数据。在阅读 ngBook-2 时，我发现还有另一种方法，即在 @Component 装饰器中
python Fabric : filter out server output when capturing output of run()
考虑一个 Linux 服务器，它在您的用户的 .bash_profile 中有以下行: echo "Hello world" 因此，每次您通过 ssh 进入它时，您都会看到 Hello world 现
java - 尝试创建回文...如何比较 "output.charAt(k)"与原始 "output"字符串？
public static void main(String[] args) { String input = new String(JOptionPane.showInputDialog("
c++ - FFTW3 : Interpret fftw_plan_r2c_1d output and access imaginary part of output
我正在使用 MSVS 2008 中的 FFTW3 库对某些数据执行 r2c DFT (n=128)。我已经发现只使用了真实数据 DFT 输出的前半部分……如果我查看我的输出，这似乎是正确的: 0-64
c++ - NetBeans 集成开发环境 : "Run Success" Output Occurs Before Output Finishes
我制作了一个 C 程序，可以从二进制文件中打印出很多值。我相信程序完成它的功能并在它实际显示它吐出的值之前结束。因此，结果我得到了一个可爱的 RUN SUCCESSFUL(总时间:198ms) 突然出
hadoop - "Map output materialized bytes"与 "map output bytes"
在 hadoop 作业计数器中，“映射输出具体化字节”与“映射输出字节”之间有什么区别？当我禁用映射输出压缩时我没有看到前者所以我猜它是真正的输出字节(压缩)而后者是未压缩的字节？最佳答案我认为你
Windows 批处理 : Pipe output from exe into a SET VARIABLE where output has spaces
有很多 Stack Overflow 文章与此相关，但没有直接的答案。这条命令会输出一堆单词 OutputVariable.exe %FILEPATH% 输出: Mary had a little
c++ - "standard output stream"和 "standard output device"有什么区别？
互联网上的许多文章都使用“标准输入/输出/错误流”术语好像每个术语都与使用的“标准输入/输出/错误设备”术语具有相同的含义在其他文章上。例如，很多文章说标准输出流默认是监视器，但可以重定向到文件、打印
python - 值错误 : Output tensors to a Model must be the output of a TensorFlow `Layer`
我在 Keras 中使用一些 tensorflow 函数(reduce_sum 和 l2_normalize)在最后一层构建模型时遇到了这个问题。我已经搜索了一个解决方案，但所有这些都与“Keras
visual-studio-code - VSCode 扩展 : How to render colored output in output channel?
我有来自 API 的自定义输出，我想将其格式化为带有一些颜色值的字符串。最佳答案输出 channel 可以用 TmLanguage grammar 着色. Output Colorizer扩展扩展
azurerm_virtual_machine(远程执行): (output suppressed due to sensitive value in config) Terraform output
我正在寻找一种方法来查看虚拟机创建过程中发生的情况，因为我使用复杂的集群配置并测试其是否正常工作，我需要能够查看输出，在某些情况下我是不是因为敏感。这与运行remote-exec选项有关 module
haskell - 堆栈构建结果为 "output was redirected with -o, but no output will be generated because there is no Main module."
当谷歌搜索此错误时没有看到任何相关结果，所以我想发布它。 stack build Building all executables for `gitchapter' once. After a suc
verilog - Verilog : output reg vs assign reg to wire output 中的模块
假设module_a里面有register_a，它需要链接到module_b。 register_a 是否应该单独声明并分配给 module_a 的输出: reg register_a; assign
azurerm_virtual_machine(远程执行): (output suppressed due to sensitive value in config) Terraform output
我正在寻找一种方法来查看虚拟机创建过程中发生的情况，因为我使用复杂的集群配置并测试其是否正常工作，我需要能够查看输出，在某些情况下我是不是因为敏感。这与运行remote-exec选项有关 module
regex - hive SERDE 正则表达式 : Output format - want to use only few of the output Strings
输入文件如下 eno::ename::dept::sal 101::emp1::comp1::2800000 201::emp2::comp2::2800000 301::emp3::comp3::3

首页

博学

6Ren·AI

商城

mysql - 关闭 LOAD DATA INFILE 或 INTO OUTPUT