因.sql/Index.html'>mysql_history文件而泄漏。所以我们在shell登陆及备份的时候不要在-p后直接加密码，而是在提示后再输入数据库密码。 
另外这两个文件我们也应该不让它记录我们的操作，以防万一。 

shell>rm .bash_history .sql/Index.html'>mysql_history 
shell>ln -s /dev/null .bash_history 
shell>ln -s /dev/null .sql/Index.html'>mysql_history 

上门这两条命令把这两个文件链接到/dev/null，那么我们的操作就不会被记录到这两个文件里了。 
编程需要注意的一些问题 

不管是用哪种程序语言写连接MySQL数据库的程序，有一条准则是永远不要相信用户提交的数据！ 
对于数字字段，我们要使用查询语句：SELECT * FROM table WHERE ID='234'，不要使用SELECT * FROM table WHERE ID=234这样的查询语句

。MySQL会自动把字串转换为数字字符并且去除非数字字符。如果用户提交的数据经过了sql/Index.html'>mysql_escape_string处理，这样我们就可以完全杜绝

了sql inject攻击，关于sql inject攻击请参考下面链接的文章： 
http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf 
http://www.ngssoftware.com/papers/advanced_sql_injection.pdf 
各种编程语言该注意的问题： 

1)所有Web程序： 
a)尝试在Web表单输入单引号和双引号来测试可能出现的错误，并找出原因所在。 
b)修改URL参数带的%22 ('"'), %23 ('#'), 和 %27 (''')。 
c)对于数字字段的变量，我们的应用程序必须进行严格的检查，否则是非常危险的。 
d)检查用户提交的数据是否超过字段的长度。 
e)不要给自己程序连接数据库的用户过多的访问权限。 

上一页  [1] [2] [3] [4] 下一页