MySQL 5.7 存储过程
MySQL 5.7 stored procedure
我想知道是否有人知道我的 MySQL 5.7 root 密码可以执行存储过程、访问文件系统并远程破坏系统。
Root,或者更准确地说是 SUPER 授权用户,可以执行任何程序。
对文件系统的访问受限于:
- https://dev.mysql.com/doc/refman/8.0/en/server-system-variables.html#sysvar_secure_file_priv(动态 NO 表示在 运行 期间无法更改,由 SUPER 指定)。
假设 mysql 中存在代码执行错误,他们可以利用,总的来说 mysqld 服务器进程以 mysql 用户身份运行,并将受到该权限的限制以及 Fedora 应用的 selinux 规则。
SUPER 将能够填满文件系统(就像任何具有 INSERT 访问权限的用户一样),创建混乱的数据库文件,但除此之外,任何通用文件系统都非常有限。
无论是本地还是远程,这都适用。请记住,root@localhost 只能在本地访问。 root@% 是不同的远程用户。
我想知道是否有人知道我的 MySQL 5.7 root 密码可以执行存储过程、访问文件系统并远程破坏系统。
Root,或者更准确地说是 SUPER 授权用户,可以执行任何程序。
对文件系统的访问受限于:
- https://dev.mysql.com/doc/refman/8.0/en/server-system-variables.html#sysvar_secure_file_priv(动态 NO 表示在 运行 期间无法更改,由 SUPER 指定)。
假设 mysql 中存在代码执行错误,他们可以利用,总的来说 mysqld 服务器进程以 mysql 用户身份运行,并将受到该权限的限制以及 Fedora 应用的 selinux 规则。
SUPER 将能够填满文件系统(就像任何具有 INSERT 访问权限的用户一样),创建混乱的数据库文件,但除此之外,任何通用文件系统都非常有限。
无论是本地还是远程,这都适用。请记住,root@localhost 只能在本地访问。 root@% 是不同的远程用户。