接触mysql数据库多年,经常遇到mysql数据库被攻击,导致用户的数据库
丢了,数据库被删了,找人恢复的成本少则几万,多则几十万的费用,以防万一
在数据库受到攻击的同时,必须对数据库进行实时备份。如果使用阿里云服务器,则可以
使用阿里云的快照备份,您可以及时备份自己手中的数据。你也可以找专业的
SINE 、、Venus Star等服务器安全公司做服务器安全防护,都可以解决
mysql被攻击的问题。
经过这么多年的摸索mysql数据库入侵,从数据库安全类型的角度,给自己总结了一些安全经验
数据库分为Mysql、Mssql,而且,用得最多的是mysql数据库,比如
如果包括web前端架构mysql数据库入侵,IIS、nginx都是和数据库相关的。
发生数据库攻击是因为前端程序代码没有对用户输入进行详细的安全过滤和引导。
导致黑客可以篡改输入值进行代码攻击,比如一些数据库操作和查询代码。
为了传输到后端数据库。
最常用的是数据库的UNION查询,也是mysql中用得最多的一种获取数据库中的数字
根据资料,首先是UNION用echo查询的正常流程。其次是mysql报错功能的原理,以及注入,黑
客户可以通过一些特殊的注入语句轻松找到他们想要的信息。 Sine 是一家
专注于:服务器安全、网站安全、网站安全检测、网站漏洞修复、渗透测试、安全服务
综合网络安全服务提供商。
OOB 注入攻击数据库
OOB 注入是将数据以非常规的方式传出。相同的需要权限
有限,对于Mysql,主要有两种带外传输方式:DNS(域名漏洞)和SMB。该技术处于概念中
以上比较难理解,但是掌握了之后,是非常强大的技术,除了可以绕过WAF,带出数据。
,还可以结合XSS漏洞进行更有害的黑客攻击。
宽字节注入攻击
宽字节注入可以利用web应用转义单引号时宽字节的特性,吃掉反转义
斜线。然后传入攻击性代码,然后攻击数据库。
以上都是黑客攻击数据库的方法,那么如何防止数据库被攻击呢?最重要的是
保护网站前端,尽可能过滤掉程序代码中的非法参数,避免恶意代码传输
进入数据库,另一个是启动PHP的报错模式,关闭mysql的默认3306端口
,只允许本地调用数据库。
将mysql运行账号的权限限制在最低限度,切勿使用root和管理员权限运行。
MySQL自带的4个库安全权限限制:
用户、数据库、、
Mysql密码安全策略,数字+字符+字符至少十位以上
开启MySQL安全日志,包括错误日志,查询日志记录所有sql语句。
文章来源:http://www.sinesafe.com/article/20170906/mysqlzhuru.html
感谢您的来访,获取更多精彩文章请收藏本站。
