在网上查询得,这样做可以保证即使数据库被入侵,入侵者也只能拿到MySQL账户权限,拿不到root权限。觉得很迷,数据库被黑了,为什么会拿到Linux的账户权限呢。那到底为什么MySQL官方也推荐新建一个MySQL账户去安装MySQL呢
2 回答
函数式编程
TA贡献1807条经验 获得超9个赞
SELECT...INTOOUTFILE...是可以写文件的。MySQL开在root上意味着它可以在系统的任何位置写任何文件。MySQL攻击可以利用sqlinjection跟上面写文件的语句,在系统特定位置写特定的文件,可以在系统上执行任何命令,包括拿到一个shell。(细节就不说了,我也没搞过,想知道自己搜吧...)MySQL开在mysql用户上,保证它对系统大部分位置不可写,从而MySQL即使被攻击,也可以限制它对整个系统的影响。
添加回答
举报
0/150
提交
取消