我有一个 MySQL 服务器(服务器版本:5.1.68-community;MySQL 客户端版本:5.0.51a)。有没有办法限制所有用户对 information_schema 的所有访问?
发生的情况是,一些客户网站经常通过 SQL 注入被黑客入侵,他们可以从 information_schema 表/视图中获取数据库结构。当然,我们需要更改 PHP 代码以防止 SQL 注入,但我仍然想限制对 information_schema 服务器范围的访问。
请指导我...提前谢谢
【问题讨论】:
INFORMATION_SCHEMA 是一个虚拟数据库,其中包含有关当前用户可访问的所有数据库的元信息。 IE。它是根据用户的权限动态构建的。它不是真正的数据库。在任何情况下,您都应该不尝试更改对它的权限 - 它会根据服务器的状态动态更新。
所以你的问题没有什么意义。如果有人会危害某些用户并使用其权限获得系统控制权,他将能够根据定义访问该用户的INFORMATION_SCHEMA(因为该用户可以访问其权限允许的任何内容 - INFORMATION_SCHEMA 是“用户权限的投影”)。
【讨论】:
....%20union%20select%201,group_concat(table_name),3%20%20from%20information_schema.tables%20where%20table_schema=database() 的 sql 语句(取自我网站上发生的实际注入)注入 PHP 代码并获取当前数据库的结构。我完全理解必须修复 PHP 代码中的漏洞,但如果我们可以限制来自 information_schema 的所有用户的 SELECT 权限(至少),会更安全。
INFORMATION_SCHEMA 只是一个投影。如果用户有权访问某些表 - 那么即使不访问该数据库,他也会这样做。在你的情况下,他只会使用SHOW TABLES
无法阻止对 information_schema 的访问(还), 但是在通过 GET 请求进行 sql 注入的情况下,很容易做到:
RewriteCond %{REQUEST_FILENAME} !handle_error\.php
RewriteCond %{QUERY_STRING} information_schema
RewriteRule ^(.*?) /handle_error.php [R=301,L]
在您的 .htaccess 中,这应该可以省去一些麻烦。
【讨论】: