'增删改查',即 常规sql注入,俗称'脱裤'
普通用户file权限下的 '文件读写',可尝试读取各类敏感配置,如各类账号或者尝试直接往站点目录中写webshell
root用户权限下的 '读写文件'...# mysqladmin -uroot password "admin"
设置好root密码后,立刻进到mysql下,删除多余数据库,如,test库…,如下
# mysql -uroot -p
mysql...[ 暂以防止服务器被入侵为最终目的,此处是防不住别人正常的增删改查的,如,'脱裤' ]
首先,尽可能让mysql服务运行在一个较低的系统权限下,防止别人利用该服务提权,如,常见的udf提权,这里有些朋友可能会误解...,只允许该用户对该库有最基本的增删改查权限且只能让特定的内网ip才能访问到,有条件,最好站库进行分离,分离的好处在于可以让入侵者无法再正常读写文件,毕竟不在同一台机器上,因为数据库服务器上,根本没有web...另外,不要问我为什么不把mysql部署在windows上,是的,我承认自己对windows掌握的并不好 [ 除了域,如果你认为只是点点图形界面上的按钮就叫会了,那我无话可说,如果都这么简单,那就不叫操作系统了
云服务器
ICP备案
对象存储
腾讯会议
云直播
