数据库mysql的配置注入方式,数据库mysql的配置注入方式

本文目录一览：

• 1、Java中Mysql注入问题
• 2、什么是mysql注入
• 3、如何在linux下安装mysql数据库并配置
• 4、linux服务器mysql数据库怎么配置
• 5、asp注入 mysql数据库注入
• 6、mysql注入不用and怎么注入

Java中Mysql注入问题

通过？来代替参数，使用perparstatment对象，设置值，就可以达到预编译效果防止注入问题

什么是mysql注入

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

我们永远不要信任用户的输入，我们必须认定用户输入的数据都是不安全的，我们都需要对用户输入的数据进行过滤处理。

以下实例中，输入的用户名必须为字母、数字及下划线的组合，且用户名长度为 8 到 20 个字符之间：

if (preg_match(“/^\w{8,20}$/”, $_GET[‘username’], $matches)){

  $result = mysqli_query($conn, “SELECT * FROM users

                         WHERE username=$matches[0]”);}

else {

  echo “username 输入异常”;}

让我们看下在没有过滤特殊字符时，出现的SQL情况：

// 设定$name 中插入了我们不需要的SQL语句$name = “Qadir’; DELETE FROM users;”;

mysqli_query($conn, “SELECT * FROM users WHERE name='{$name}'”);

以上的注入语句中，我们没有对 $name 的变量进行过滤，$name 中插入了我们不需要的SQL语句，将删除 users 表中的所有数据。

在PHP中的 mysqli_query() 是不允许执行多个 SQL 语句的，但是在 SQLite 和 PostgreSQL 是可以同时执行多条SQL语句的，所以我们对这些用户的数据需要进行严格的验证。

防止SQL注入，我们需要注意以下几个要点：

1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双”-“进行转换等。

2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

如何在linux下安装mysql数据库并配置

Linux下MySQL安装配置 MySQL配置参数详解

一、下载编译安装

#cd /usr/local/src/

#wget

#tar –xzvf mysql-5.1.38.tar.gz ../software/

#./configure

–prefix=/usr/local/mysql //MySQL安装目录

–datadir=/mydata //数据库存放目录

–with-charset=utf8 //使用UTF8格式

–with-extra-charsets=complex //安装所有的扩展字符集

–enable-thread-safe-client //启用客户端安全线程

–with-big-tables //启用大表

–with-ssl //使用SSL加密

–with-embedded-server //编译成embedded MySQL library (libmysqld.a),

–enable-local-infile //允许从本地导入数据

–enable-assembler //汇编x86的普通操作符，可以提高性能

–with-plugins=innobase //数据库插件

–with-plugins=partition //分表功能，将一个大表分割成多个小表

#make make install //编译然后安装

二、新建用户和组

#groupadd mysql //建MySQL组

#useradd -g mysql -s /sbin/nologin mysql //建MySQL用户属于MySQL组

三、配置

#chown -R mysql:mysql /usr/local/mysql/ 把MySQL目录的权限给MySQL用户和组

#cp /usr/local/src/software/ mysql-5.1.38/support-files/my-medium.cnf /etc/my.cnf //拷入配置文件my.cnf

#/usr/local/mysql/bin/mysql_install_db –user=mysql //用MySQL来初始化数据库

#chown -R mysql:mysql /usr/local/mysql/var/ //把初始化的数据库目录给MySQL所有者

#/usr/local/mysql/bin/mysqld_safe –user=mysql //启动MySQL

四、其他

#cp /usr/local/src/software/ mysql-5.1.38/support-files/mysql.server /etc/init.d/mysqld

#chmod 755 /etc/init.d/mysqld

#chkconfig –add mysqld

#chkconfig mysqld on

#service mysqld restart

五、登陆测试

#cd /usr/local/mysql/bin

#mysql

show databases;

#

MySQL安装结束

linux下mysql配置方法

在linux中mysql的配置文件路径在/usr/share/mysql下

有：my-huge.cnf 、my-large.cnf、 my-medium、my-small.cnf这些文件

根据需要打开这些文件中的一个:

在文件中找到[mysqld]

在下这行下加入datadir＝FILEPATH /*这个路径为数据库存放的路径*/

然后保存文件

在shell中输入

#cp my-***.cnf /etc

#cd /etc

#mv my.cnf my.cnf.bak /*把系统以前的mysql配置文件备份*/

#mv my-***.cnf my.cnf

#service mysqld start /*启动mysql服务*/

#ntsysv /*配置mysql自启动，在弹出的窗口中把mysqld这项服务用空格选中，最后确定保存*/

linux服务器mysql数据库怎么配置

linux服务器mysql数据库配置

mysql最流行的关系型数据库之一，目前隶属于oracle公司，因体积小、速度快、总体拥有成本低，开放源代码这一特点，所以是我们日常开发的首选。

工具/原料

mysql5.6

cnetos

方法/步骤

查找以前是否安装有mysql，使用下面命令：

rpm -qa|grep -i mysql

如果显示有如下包则说明已安装mysql

mysql-4.1.12-3.RHEL4.1

mysqlclient10-3.23.58-4.RHEL4.1

如果已安装，则需要删除已安装的数据库，使用以下命令来删除数据库

删除命令：rpm -e –nodeps 包名

( rpm -ev mysql-4.1.12-3.RHEL4.1 )

删除老版本mysql的开发头文件和库

命令：rm -fr /usr/lib/mysql

rm -fr /usr/include/mysql

注意：卸载后/var/lib/mysql中的数据及/etc/my.cnf不会删除，如果确定没用后就手工删除

rm -f /etc/my.cnf

rm -fr /var/lib/mysql

下载mysql的rpm包

可以通过wget下载具体的地址因为不能用链接请大家去官网去找

（1）MySQL-server-5.6.10-1.rhel5.x86_64.rpm：MySQL服务器；

（2）MySQL-client-5.6.10-1.rhel5.x86_64.rpm：MySQL客户端；

（3）MySQL-devel-5.6.10-1.rhel5.x86_64.rpm：Mysql开发依赖包。

下载后放到Liunx服务器中，如图所示

安装MySQL Server的rpm包

rpm -ivh MySQL-server-5.6.21-1.linux_glibc2.5.x86_64.rpm

安装过程如图所示

安装完成后会生成root用户的随机密码，请使用“cat /root/.mysql_secret”或类似命令进行查看。

安装MySQL客户端

rpm -ivh MySQL-client-5.6.21-1.linux_glibc2.5.x86_64.rpm

安装MySQL开发依赖包

rpm -ivh MySQL-devel-5.6.21-1.linux_glibc2.5.x86_64.rpm

启动msyql

安装完成后mysql是没有启动的，运行mysql命令会提示如下错误：

ERROR 2002 (HY000): Can’t connect to local MySQL server through socket ‘/var/lib/mysql/mysql.sock’ (2)

可使用如下命令启动MySQL：

service mysql start

或者使用如下命令：

/etc/init.d/mysql start

可使用SET PASSWORD命令修改root用户的密码，参考如下：SET PASSWORD = PASSWORD(‘root123456’);

asp注入 mysql数据库注入

select也可以在access、sqlserver中使用啊，asp、psp、.net语句中也可以写select查询语句

在php与asp只是用的语言不一样，例如同样是从数据库中读取数据写法就不同。

以下是php从access数据库中读取：

?

$sql = “SELECT * FROM [es_pcls1] ORDER BY [p1no] ASC”;

$rs = myselect($sql,1);

while(!$rs-eof) {

?li class=”linksmall”a href=”linkcontent.php?p1id=?=$rs-Fields(“p1id”)-value?” class=”link3″?=gbk2utf($rs-Fields(“p1name1”)-value)?/a/li?

$rs-MoveNext();

}

closers();

?

以下是asp从mysql数据库中读取：

%

sql = “SELECT * FROM [es_pcls1] ORDER BY [p1no] ASC” ‘根据plno序号 查询表es_pcls1的信息

Call AdoSELECT(sql,1) ‘Request.QueryString 是指取得所有以GET方式提交到这个页面的参数组合

‘While……Wend 只要指定的条件成立，为true， 则会重复执行一系列的语句

While not rs.eof

%lia href=”products.asp?p1id=%=rs(“p1id”)%”%=rs(“p1name1”)%/a/li%

rs.movenext ‘读取一条记录后移动指针，继续读取下一条指针

Wend

AdoCLOSE ‘关闭数据库

%

mysql注入不用and怎么注入

mysql 可以使用更安全的pdo_mysql接口来处理 所有的查询参数话绑定 $sql = ‘select * from table where id=:id’; $pdo-prepare($sql)-bindValue(‘:id’, $id, PDO::PARAM_INT)-excute(); $pdo-fetch(); 来获取数据 这样可以很有效的避免被注入