MySQL 客户端允许 MySQL 服务器请求任何本地文件

来源: 投稿

作者: 段段段落

2019-01-21 08:00:00

本文被收录于专区

数据库

进入专区参与更多专题讨论

近期大型商务网站和政府网站被黑客通过 Adminer 数据库入侵，根本原因是 MySQL 的协议缺陷。

但在官方文档显示，客户端主机到服务器主机的文件传输由 MySQL 服务器启动。理论上，客户端程序选择的文件不应是 LOAD DATA 语句中客户端指定的文件，而应该是传输服务器选择的文件。

虽然由很大的泄密风险，但服务器必须知道客户端上文件的完整路径，才可能成功。而请求/self/proc/environ，服务器就可以了解客户端上的文件夹结构。

一些客户端和库具有对此“功能”的内置保护，或者在默认情况下禁用它（例如 Golang，Python，PHP-PDO）。但并非所有都会这么做，正如 Adminer 案例所示。Adminer 很可能不会是最后一个出现该问题的

展开阅读全文

本站新闻禁止未经授权转载，违者依法追究相关法律责任。授权请联系：oscbianji#oschina.cn

本文标题：MySQL 客户端允许 MySQL 服务器请求任何本地文件

本文地址：https://www.oschina.net/news/103780/sites-hacked-via-mysql-protocal-flaw

本篇精彩评论

关云长长长

引用来自“红薯比我帅”的评论

任何软件都不可能百分百不存在漏洞，Mark下吧。

容忍度真高！要是mssql有这样的漏洞，还不被你骂成翔！

2019-01-21 13:46

2 赞

热门评论

魔力猫 2023-12-01 09:59

软件系统是有沉没成本的。哪有什么喜欢用不喜欢不用的。你一句话就能去IOE？为什么这个难？因为之前的投入直接归零，之后还要再投入几个亿？！而且失败可能性不低，真要到时候全系统崩溃，公司破产都不是不可能。换到这里。如果公司已经在几个十几个项目里面用了这个框架。那怎么换？当初做决定的人，要么忽悠老板买VIP，要么自己悄悄掏钱买文档。不然？直接就是“引入重大风险，造成公司严重损失”，一分钱赔偿拿不到，直接走人！

SsZyz 2023-12-01 21:02

阿里从某种角度来讲，还是促进了国内工人意识觉醒。推荐广大打工人把避免兔死狗烹，鸟尽弓藏纳入职业发展规划中。

yejun365 2023-12-01 22:07

对错都不谈了，还说个毛线啊。首先，文档以前包含在源码里，也是开源的，现在删了。用户有权部署之前开源版文档，现在他说不允许你部署，这是违反开源协议的。兴趣是不能成为饿肚子的理由，但也不是把以前承诺当屁放了的理由！！！！重发一位网友的反对理由！

mylady 2023-11-30 13:14

这次让他做成了，后面还会有更多的开源钓鱼了。

我的ID是jmjoy 2023-11-29 13:47

跟“降本增效”有个毛线关系，真以为毕业生就能升级k8s了？

辉火 2023-12-01 20:40

中文编程不是有易语言么？

中医药人工智能研究 2023-12-01 21:24

pascal作者一生专注编译器，专注的大牛创造牛X的产品！

KL博主 2023-12-02 00:24

https://www.oschina.net/question/4700705_2331356 KKFileView 也在开源路上探索，问答里面就有很多人问到了开源项目怎么持续发展的问题，我个人觉得在不影响项目开源初衷前提下，获取一点经济支持来更好的维持项目发展，真的无可厚非。

權少 2023-12-01 21:29

你這不就是耍鍋讓別人負重前行嗎？我就問你如果同樣情況發生在中國，讓你出行受挫，你會誇他們不卷嗎？

哒不溜滴滴 2023-12-01 22:36

你愿意出来单独发个说明我觉得已经很了不起了. 确实, 很多人包括我也不了解事情到底是什么样子, 乍一听事情觉得好像是你不道德似的. 但是我看了评论区有个说 ThinkPHP 文档也收费, 就算不去了解你们的项目, 也突然能理解文档收费了. 其实我一直不太理解有些人怎么这么能喷, 喷 SSPL, 喷 BSL, 我眼中的"开源"就是你愿意共享代码, 又不硬性要求回报, 已经是在做好事了. 兄弟, 加油!

傲世孤尘 2023-12-01 21:13

你说的很在理

至尊小宝 2023-12-01 21:28

那一定会有另外一家站出来，然后成为主流。.net本来社区就小，还不成熟，跟各位也脱不了关系，都想着白嫖，不愿意贡献时间、精力、代码。贡献99总不多吧？

Jason909 2023-11-30 18:37

0动弹，0博客，0问答，0关注，0粉丝，0经验值，0开源豆，这位比我们都有钱的大老板在这里发出了他的第一条讨论。

kalman03 2023-12-01 22:21

mvncenter.com 上查一下最新版本

scmiot 2023-12-01 23:54

从输入上来说，中文复杂，从关键字上来说英文记不住的中文也一样，从语义上分析会不会有歧义？中文打了那么多能不能AI生成一段？

木有龙井茶 2023-12-01 09:49

不诚信，违背开源协议，威胁用户。说得再多都是狡辩。

權少 2023-12-01 21:38

以前吹工匠精神，現在吹甩手掌櫃是不卷，橫竪都能贏。

依然藏锋 2023-12-01 10:03

都别吵了，.net的兄弟们，有能力，转Rust, Java 它不好吗？要生态有生态，要性能有性能， .net 在国内ZF都明令不用了，现在除了在游戏开发U3d还有点用外，还有啥？不值得你们花时间精力吵来吵去。不过宣称MIT 开源，突然收费这行为只会让人有种被骗的感觉。。。

技术粉 2023-11-29 15:39

看了，确实吓人，而且还看到了小人得志后的嘴脸。太吓人了

至尊小宝 2023-12-01 21:24

.net社区真实热闹啊，一群99都不愿意付的人，追着作者要说法？作者也是有产出的，难道你们不是拿这个代码去赚钱的？不愿意付费可以选择不用啊，人基本的文档不是能看嘛，其他的有代码，再高深的，付钱看就行了。真是淋漓尽致的体现了国内的开源社区啊。就俩字，白嫖。上面还有一个恶毒的诅咒作者去水滴筹的，99元文档费用都变成这样子了。。。太让人寒心了，看看以后谁还敢开源。

哈库纳 2023-11-29 15:30

周鸿祎说的没错 360 的确是可以被卸载，但是周鸿祎没说 3721 会把它重新安装回来。

技术粉 2023-12-01 20:58

删了好多评论

百小僧 2023-11-30 20:30

👉👉👉 说句实话，有时候我还是想不通你们这些人的。我们认识吗？我们有那么大的仇恨吗？我是伤害了你的利益吗？你了解的事情经过吗？你听到的看到的都是真的吗？你怀疑过这一切吗？你有限的知识够评价别人无限的人生吗？互联网那些被网暴的人真的就是道德败坏的人吗？你看懂社会运行规则了吗？人性的弱点你读懂了吗？你躬身入局了吗？自然辩证法学过吗？王阳明的心学心外无物课外阅读过吗？捕风捉影、愤然怒喷，把自己放在上帝的视角藐视着这一切，彷佛是一切的主宰，道德的化身，法律的审判者，人间的正义使者。

刀哥 2023-12-01 23:29

在中国做开源挺难的，可能饭都吃不饱。

魔力猫 2023-12-01 09:33

但是这是在违法！不想维护了可以放弃。不能说你觉得免费付出亏了，就可以绑票勒索。你以MIT协议分发，现在自己违反。别扯什么99.99%都是自己写的。项目文档接了别人的pull，哪怕一个字符，人家也有版权！你哪怕后续版本改闭源，最起码也要所有贡献者同意。而且文档收入，人家有资格获得报酬！

osc_73355549 2023-12-01 09:29

之前是声明免费，现在是99，后面++++，谁用谁+++++..是诚信问题，不是收费问题。

angelshaka 2023-11-29 14:02

偷换概念，把你自己违反MIT协议跟小程序混为一谈真的好意思吗？还有脸威胁人家私有化部署追究法律责任？你是知法犯法懂吗？看到你威胁别人的帖子，吓我一跳，大家都看看他怎么吓唬人的： https://github.com/Rwing/debian-benchmarks-game-visualization/issues/1

魔力猫 2023-11-30 10:23

如果老版本照旧，新版本文档封闭，这没太大问题。遗留系统，各种烂事多了去了。升级框架要加钱不算啥。可如果把老文档也封了，就等同绑票！而且作者也别吹已经有多少肉票交了赎金。交钱的有多少心里咒你们没点数？如果不是沉默成本太大，谁愿意给这笔钱？！考虑过这个框架但没用的，那是真庆幸自己没被杀猪。以后不是真正大厂支持的项目，敢随便放到公司里面了。像这次的事情，风险没边了！今天封框架文档，明天就可以封部分API，不给钱不能用。MIT协议在眼里不如一张厕纸。如果程序员把框架推荐引入公司项目，结果出了这么一出，尴尬不？接下来怎么办？跟公司说现在要交赎金，遇到苛刻的老板，为这499就让你拍屁股走人，还不给补偿，罪名都是现成的，给公司造成重大损失，499不是钱的事情，而是项目风险不可控。

osc_96846813 2023-11-30 19:33

哥们，如果缺钱你可以发起水滴筹，相信大家都能理解的，何必弄的这样里外不是人呢。😂

yejun365 2023-12-01 22:22

了解清楚情况再发言

陈钇蒙 2023-11-30 19:53

管你有什么大道理, 你确实违反了你用的开源协议mit协议, 说再多都没有用, 你搞的就不是开源这种东西

魔力猫 2023-12-01 09:50

作者表示想不通？绑匪觉得绑票拿钱，天经地义，我们更想不通。如果不把你骂死，始作俑者，其无后呼？大家都这么玩，谁还敢用开源？特别是国内开源！你不就是仗着国内绝大多数用户，不愿意花钱跟你打官司么。我要正好是项目技术负责人，脑子昏聩，把你的框架引入了项目，结果现在被绑了，咋办？和老板说，咱们被勒索了？苛刻点的老板，我怕不是马上卷铺盖滚蛋！还不是只能含泪自掏腰包，找你买文档，赎肉票？！作者洋洋得意的三千多文档用户，有多少不是这么来的？！

刀哥 2023-12-01 23:22

开源也要吃饭才开的了源，不然项目大概率最终会死。如果项目真的给你带来了价值，花钱是应该的，否则明年项目黄了，对你有啥好处？

292015 2023-12-01 12:50

第一次看到furion这个词，很震惊。原因很简单，一个库取这个名字，怎么担得起。都不说一开始这个库就有对标spring的意思。然后我就说了一句这个名字的问题，结果你应该知道的。我没再说什么，毕竟各人有各人的看法。再然后，看到某些对这人的评论，说他造假微软mvp。这么石锤的评论，显然是真的。我当时就觉得，这得多黑的脸才能干这种事。现在嘛，呵呵，一贯如此，飞逝都不要了。再说一句实话，很多软件加入神话、哲学相关的事情，也就用了一个名字而已。这确实可能多一点文化认同感。但是没人大段大段的说一堆废话。这种属于土鳖行为了，而且非常恶心。

zoujiaqing 2023-12-02 00:36

雷传志？小米是草根？金山和联想是多大的毒瘤不知道？

叨

叨叨颠颠 2023-12-01 09:11

吃相难看，有什么zg引入释迦牟尼，还各种古今句典，凑显摆什么，释迦牟尼布道收你钱了，用别人的句典收你钱了。别再解释，又当又立，君子爱财取之有道。马户马户

zb94748325 2023-11-29 12:23

什么辣鸡行为啊，别又当又立。搞社区版和商业版的公司多了去了，没人会骂。先开源再搞部分收费就特么辣鸡，还怨别人带节奏？？？鄙视鄙视鄙视！👎👎👎

溪涧顽石 2023-12-01 13:27

你出尔反尔, 违反了mit开源协议. 一条足以

phper08 2023-11-29 18:02

https://gitee.com/dotnetchina/Furion/blob/v4/LICENSE.zh “特此免费授予任何获得本软件副本和相关文档文件（下称“软件”）的人不受限制地处置该软件的权利”

osc_73355549 2023-11-30 16:35

主要是收费之前的文章应该免费公开，收费后更新的文章可以加密，这坑人的玩意，之前还推荐同行用。

yejun365 2023-12-01 22:16

一副小人得志的模样，大家都看清楚了，千万别碰

渔民小镇 2023-12-01 11:31

说句公道话，软件作者是有权修改的；如果之前的文档也在库里，并且是 MIT 协议的；大家可以放心使用，并且有权公开到互联网中供大家使用，因为这符合 MIT 协议；如果作者明确说明了文档收费并且不使用 MIT 协议了，那么在这之后的文档就不能再以 MIT 协议使用，但在这之前的依旧是 MIT；说白话一点就是，假设之前的文档有 11 篇，那么这 11 篇遵循的是 MIT 协议；如果作者宣布文档不再使用 MIT 协议后，又多加了几个新的文档，或者修改了之前的文档，那么这些新文档将不能随意传播；注意，之前以 MIT 发布的那些文档大家有权使用，并且有权公开，因为这符合 MIT 协议。除了使用外，还能将其商业化，因为这也符合 MIT 协议；也就是说，如果大家有兴趣可以在 MIT 协议的文档上自己维护一份，实时地跟进框架源码来写一份属于自己的文档；在这之上新增、修改的文档版权属于维护者，因为这并没有破坏之前的 MIT 协议。对于收费，如果还有其他做开源的作者，请提前规划好开源协议和发展路线；建议使用 GPL、AGPL 类似的开源协议，这种协议更符合开源精神和GCZY精神；对于想私有化项目的人，可以选择私有化授权。通常来说，一些开源项目如果声称完全免费的，我都不会去关注，除非该项目得到了其他资金的支持；但如果有两个大致相同的开源项目，一个有商业性质，一个完全免费，我会更关注具备商业性质的开源项目。在 git 上有很多长年不更新的开源项目，通常是刚开始有激情，没多久就不再维护了。收费并不一定是坏事，通常免费的才是最贵的。但大多数使用者没有计算时间成本，所以只关心是否免费。大多数白嫖的想法是：你这产品不错、你这框架不错、你这项目不错，应该免费。还有一些江湖侠客给你说各种大道理，让你免费提供劳动力；这些不过是慷他人之慨的白嫖的人，真让他们付出时，结局是真有一头牛。

phper08 2023-11-29 18:01

IamOkay 2023-12-01 21:31

可能是开源中国删的

KL博主 2023-12-02 00:24

https://www.oschina.net/question/4700705_2331356 KKFileView 也在开源路上探索，问答里面就有很多人问到了开源怎么持续发展的问题，我个人觉得在不影响项目开源初衷前提下，获取一点经济支持来更好的维持项目发展，真的无可厚非。

百小僧 2023-11-29 14:37

去看看pr，我一个人写了340万字的文档，其他所有开发者提交pr贡献文档的字数总不超过1000字。99.99%都是修改错别字。

Francesca 2023-12-01 23:31

那华为是什么公司？忽悠公司，吹牛公司？

木有龙井茶 2023-12-01 09:59

对错都不谈了，还说个毛线啊。首先，文档以前包含在源码里，也是开源的，现在删了。用户有权部署之前开源版文档，现在他说不允许你部署，这是违反开源协议的。兴趣是不能成为饿肚子的理由，但也不是把以前承诺当屁放了的理由

AdminBj 2023-12-01 14:10

作者，我其实很支持你走一些商业化道路，在知道你开启了vip服务的第一时间我就充了vip。但是严格的将，furion文档之前是跟furion开源库的，而furion库是明确写了MIT协议。你现在把文档从这里面移除进行收费，是非常不明智的行为，此举也违背了MIT协议，，所以才遭到很多人的口诛笔伐！希望慎重，可以从其他方面走一些商业化而不是把之前mit库里的内容移除！

无法选中 2023-12-01 08:59

MIT 许可证，免费授予任何获得本软件副本和相关文档文件的人不受限制地处置该软件的权利，请问你遵循的是MIT协议么，不是就把许可证换了，改一份中国MIT出来

osc_160885 2023-12-01 22:04

信创离不开 SM，想做这个领域，不拿个甲级资质就别来了，来了也是给别人打工。

技术粉 2023-11-30 16:34

https://oscimg.oschina.net/oscnet/up-b182b52fe56f56bb8308410992824b53134.webp

yejun365 2023-12-01 22:14

人家就是这个意思，上了贼船由不得你了，吃相难看

yejun365 2023-12-01 22:12

还好意思在这里炫耀敲诈的成果

天朝八阿哥 2023-12-01 21:40

哈哈，虽然你说话有时挺气人的，不过，收费这个事还是顶你一下！只能说：你生错朝代了。总结一下，骂的人分这么几类：一、眼红的；二、添乱起哄的；三、没啥本事只会搬砖却自觉伟大得不能行的；四、单纯接受不了从免费到收费心理落差的。

一介农夫 2023-12-02 00:03

在输入上用中文就没啥优势了

傲世孤尘 2023-12-01 20:51

国内开源环境这么差了吗？开源作者还有没有一点尊严？我不是搞.net的，但看了众多带节奏的评论后，我也忍不住说几句了。 1、项目采用MIT开源协议，意味着在这个仓库内的代码、文档都是可以自由使用的。也就是你们其他人拿这个出去录制教学视频、卖文档也是没有问题的。为什么作者自己靠文档赚点钱反而不行了呢？ 2、对于一般的用于学习等情况，作者也明确提供了免费通道。而且也强调企业可以私有化部署文档，只是后续无法得到更新。 3、作者为Furion项目付出了三年的努力，而国内开源生态要持续壮大，三年是远远不够的。需要更多的人，更多的时间投入。只有能从开源上赚到钱，开源这件事才能一直持续下去。希望大家对开源作者多一些支持与鼓励

木有龙井茶 2023-12-01 23:20

哈哈哈哈，这下看清这个人了吧，交了钱还不让公开提建议了，自己把事情拿出来说了，不让别人提建议，提就是宣泄，哈哈哈哈！

至尊小宝 2023-12-01 21:27

99元都不愿意付的公司，还在那干干嘛...