【发布时间】:2015-06-06 04:53:38
【问题描述】:
作为安全强化的一部分,我正在尝试禁用 local_infile 并防止有人访问操作系统的本地文件。根据文档,我可以通过在 my.cnf 中设置变量 local-infile=0 或使用选项 --local-infile=0 启动 mysqld 服务来禁用它。但是使用任何选项我都可以加载本地文件。
我尝试先添加/etc/my.cnf
[mysqld]
local-infile=0
之后,我确认更改得到反映。
mysql> SHOW GLOBAL VARIABLES LIKE 'local_infile';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| local_infile | OFF |
+---------------+-------+
1 row in set (0.00 sec)
然后我从 mysql 客户端使用 load_file 加载了本地文件
mysql> SELECT load_file("/etc/passwd");
上面的命令显示 /etc/passwd 文件的内容,即使 local_infile 被禁用。谁能告诉这里出了什么问题?
我从通过mysqld --local-infile=0 开始重复相同的步骤,但没有改变。我也尝试使用--local-infile=0 选项启动mysql 客户端,但没有区别。
【问题讨论】:
-
我已经完成了你所拥有的,它对我有用。如果我尝试使用 load_file,任何文件的内容都会返回为 NULL