MySql注入的问题

大家好,我用我自己的电脑作为实验对象,已经可以在表单中进行sql注入而在我的mysql中添加了一个用户,权限和root一样,那么接下来我想利用这个新建的账号对我的电脑里的文件进行操作(包括增加或删除),是否可以实现?另外,被mysql注入以后,最严重的后果能达到怎样?麻烦大家赐教一下,谢谢

解决方案 »

  1.   

    LOAD_FILE(file_name) 可以用这个函数来读任何root@localhost有权限的文件select ... INTO OUTFILE  把信息写入某文件。可以参考一下文档中的详细说明用例子。
    MySQL官方文档 http://dev.mysql.com/doc/refman/5.1/zh/index.html
      

  2.   

    取得你整个操作系统的控制权。什么都可以做了。一切都可以。所以不要给Mysqld 太大的权限。 unix中不要给mysql用户过多的权限。 windows中把服务设置指定账号运行。减少权限。
      

  3.   

    可以说说怎么样取得整个系统的控制权吗?或者有什么资料可以参考一下,如何通过sql注入而取得整个系统的权限?我google得到的大部分都是如何防止注入,而注入成功以后如何进行破坏性大的操作却一直都找不到,不知道是不是我找的方法不对
      

  4.   

    你不是让我把所有的黑客操作都贴出来吧。首先得知道是什么操作系统。现在假设是 windows ,你可以写一个文件在 c:\autoexe.bat ,其中加上 net use add xxxx,  net localgroup add xx 加入到操作系统管理员组。然后你什么都能做了。很详细的,不是这里一个贴子几百字能说清楚了。