MySQL爆炸记:2005年发生的经典案例。(mysql2005)
MySQL爆炸记:2005年发生的经典案例
2005年,MySQL市场正值全盛时期,成为Web应用中使用最广泛的数据库系统。然而,市场升温也伴随着许多技术案例,象征着数据库爆炸所产生的负面影响。
比如,2005年,MySQL5.0.20版本的核心代码中出现了致命错误,恶意登录者可以利用此漏洞以root权限不断登录MySQL服务器,给服务器带来高负载、拒绝服务、作案跨服务器等安全威胁。
随后,开发者们发现,MySQL5.0.27及以前版本中,有关多表查询缓存的存储过程中存在SQL注入攻击漏洞,存在恶意登录者可以利用这把钥匙、不断破解该系统的可能性。
此外,使用MySQL5.0.30及之前版本的用户不安全的恐惧,因为该版本的权限授权存在严重的漏洞,攻击者可以通过禁止对密码字段的操作,来获取超级用户权限,并不断获取数据库的完全控制权。
的碰巧,MySQL5.0.7及以后的版本存在MySQL服务器内存使用漏洞,攻击者可以让MySQL服务器并行运行,将MySQL服务器内存用量强制提升至服务器无法继续运行,让服务器崩溃,致使系统无法响应,进而影响数据库安全性。
以上就是2005年MySQL爆炸案例,从例子中可以明显看出,数据库的安全性必须保证,任何一处漏洞都会影响数据库的安全。因此,开发者也必须重视安全性,尤其是MySQL技术,只有深入研究和开发过程中,才能保证系统的可靠性和安全性,有效防止MySQL爆炸。
--演示SQL注入
SELECT * FROM users WHERE user_name = '$user_name' AND user_pass = '$user_pass'
-- mysql_real_escape_string()函数
$user_name = mysql_real_escape_string($_POST['user_name']);$user_pass = mysql_real_escape_string($_POST['user_pass']);
SELECT * FROM users WHERE user_name = '$user_name' AND user_pass = '$user_pass'