load data local带来的安全问题
load data默认读的是服务器上的文件,但是加上local参数后,就可以将本地具有访问权限的文件加载到数据库中,这在带来方便的同时,也带来了以下安全问题,
可以任意加载本地文件到数据库,
在web环境中,客户从web服务器连接,用户可以使用load data local语句来读取web服务器进程有访问权限的任何文件,
解决办法:--local-infile=0 选项启动mysqld 从服务器端禁用所有的load data local 命令。
load data默认读的是服务器上的文件,但是加上local参数后,就可以将本地具有访问权限的文件加载到数据库中,这在带来方便的同时,也带来了以下安全问题,
可以任意加载本地文件到数据库,
在web环境中,客户从web服务器连接,用户可以使用load data local语句来读取web服务器进程有访问权限的任何文件,
解决办法:--local-infile=0 选项启动mysqld 从服务器端禁用所有的load data local 命令。
