标签：数据库

　　用图形工具是比较方便的，比如我用的：SQLyog。

　　在命令行中的方式为：

　　１、把整个数据库导出为一个sql文件:用：mysqldump dbname > c:\mydb.sql

　　２、把sql文件导入数据库：用mysql命令进入mysql，在mysql>提示符下输入：

　　１）创建数据库：create database newdb;

　　２）使用当前数据库：use newdb;

　　３）导入sql文件中的数据：source c:\mydb.sql（无分号）

　　这样，就把mydb.sql中的数据导入到新的数据库newdb了。

转自：http://blog.iyi.cn/start/2004/12/mysql_1.html

默认安装的mysql服务不安全因素涉及的内容

默认安装的mysql服务不安全因素涉及的内容有：

一.mysql默认的授权表

二.缺乏日志能力

三.my.ini文件泄露口令

四.服务默认被绑定全部的网络接口上

五.默认安装路径下的mysql目录权限

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

一.mysql默认的授权表

由于mysql对身份验证是基于mysql这个数据库的，也叫授权表。所有的权限设置都在这里了。

我们只讨论最为重要的一个表 user表。它控制的是接受或拒绝连接。

先看一下

select host,user,password,Delete_priv from user;

+-----------+------+------------------+-------------+

| host | user | password | Delete_priv |

+-----------+------+------------------+-------------+

| localhost | root | 67457e226a1a15bd | Y |

| % | root | | Y |

| localhost | | | Y |

| % | | | N |

+-----------+------+------------------+-------------+

现在新的版本，安装完毕都会出现一个快速设置窗口，用于设置口令。

以上，就是user表里的内容（略了点）看看有什么问题？

我们知道mysql的验证方式是比较特殊的，它基于两个2个信息来进行的

1.从那里连接

2.用户名

第一条没什么问题，当然口令必须是安全的。

第二条从任何主机，以用户root，不需要口令都可以连接，权限为所有的权限。(注:这里的权限是全局权限)

第三条从本地主机，任何用户名（注：user为空白，不表示不需要用户名），不需要口令，都可以连接，所有的权限

第四条从任何主机，任何用户名，不需要口令，都可以连接，无任何权限。

可以看出，2\\3\\4都是不安全的，如何攻击这里就不说了，请参看资料文库。

如果你mysql只允许本地连接，删除host的%和user中的nul(表示空)

delete from user where host=‘%‘;

delete from host where user=‘‘;

最后的user表，看起来因该是这个样子

+-----------+------+------------------+-------------+

| host | user | password | Delete_priv |

+-----------+------+------------------+-------------+

| localhost | root | 67457e226a1a15bd | Y |

+-----------+------+------------------+-------------+

最后需要刷新授权表，使其立刻生效

flush privileges;

如果你的mysql需要被远程使用，需要为%段中的root帐号，加上一个安全的密码

update user set password=password(‘youpass‘) where host=‘%‘;

其中youpass，就是口令

mysql> select host,user,password,Delete_priv from user;

+-----------+------+------------------+-------------+

| host | user | password | Delete_priv |

+-----------+------+------------------+-------------+

| localhost | root | 67457e226a1a15bd | Y |

| % | root | 77c590fa148bc9fb | Y |

+-----------+------+------------------+-------------+

更好的做法是，对远程主机的连接，指定为特定的

修改host中的%为允许连接的主机，比如：

192.168.0.% 允许一个特定的子网

www.sandflee.net 允许一个特定的主机

帐号默认的名字也是担心的问题。有可能导致被暴力破解

update user set user=‘localadmin‘ where host=‘localhost‘;

update user set user=‘remoteadmin‘ where host=‘%‘;

最后的user表看起来像是这个样子

mysql> select host,user,password,Delete_priv from user;

+-----------+-------------+------------------+-------------+

| host | user | password | Delete_priv |

+-----------+-------------+------------------+-------------+

| localhost | localadmin | 67457e226a1a15bd | Y |

| % | remoteadmin | 77c590fa148bc9fb | Y |

+-----------+-------------+------------------+-------------+

更为详细的资料，请去参考晏子的《MySQL中文参考手册》。随便那都有下

二.缺乏日志能力

mysql安装完成以后，会在%SystemRoot%目录下产生my.ini的设置文件

默认的内容如下：

——————————————————————————————

basedir=C:/mysql

#bind-address=192.168.0.1

datadir=C:/mysql/data

#language=C:/mysql/share/your language directory

#slow query log#=

#tmpdir#=

#port=3306

#set-variable=key_buffer=16M

[WinMySQLadmin]

Server=C:/mysql/bin/mysqld-nt.exe

user=root

password=root

注意log#=这个

它没有被定义，且被注销掉了。

更改为一个适合的路径，比如：

log=c:/mysql/logs/mysql.log

三.my.ini文件泄露口令

我们看到my.ini最后，有这两句

user=root

password=root

如果，你安装完成时，使用了mysql所提供的快速设置功能，(较新的版本)你的帐号和口令将被写到my.ini文件中。

这也是mysql写到启动组里的winmysqladmin.exe工具，运行时需要读取的。它提供的mysql服务

的一些监视功能。这样winmysqladmin.exe才能获得mysql服务的状态信息。

其实，这个也不算漏洞,我们看看my.ini默认的权限，它可以被user组用户读取。

从而导致口令被泄露

解决方法：

从新设定my.ini文件的权限.

从新设定帐号及口令

不使用快速设置

四.服务默认被绑定全部的网络接口上

服务被绑定到了所有的网络接口上，比如，你只需要一个运行在内网的mysql服务，但是你的机器有

外网的接口，mysql也会被绑定上，从而带来一些不必要的麻烦和威胁。

在my.ini里的这句

#bind-address=192.168.0.1

它默认被注销掉了

应该打开它

如果，只是本地使用，更改为

bind-address=127.0.0.1

如果是其它情况，应该选者一个合适的网络接口

五.默认安装路径下的mysql目录权限

mysql默认的安装路径为c:\\mysql，基本上都难得改，要改的话也是麻烦，还要去改my.ini。

但，这样就有个问题

通常c:\\的权限是everyone组-所有的权限。这是默认的，由于继承性，导致mysql下的data目录

也是everyone组-所有的权限。导致被随意访问、读取、删除，可能泄露和破坏数据。

更改mysql目录到一个合适，安全的访问权限。

over...

CONCAT(str1,str2)--连接str1和str2;

LENGTH(str)--str的长度（一个汉字的长度是２，一个字符的长度是１）

update article set articlename=CONCAT('cs:',articlename) where LENGTH(articleName)<5 AND userName='xxxxx';

    java-cn.com的站长回答：“  回复：站长，mysql的技术小问题,字符集怎么改啊？

你安装完Mysql后，会在 WINNT 目录下生成一个　my.ini 的配置文件，在 [mysqld] 下面加上一行：

default-character-set=gb2312

然后重新启动一下Mysql进程就可以了。

 

“

    真简单啊，可我开始就是不知道。忘了问这个知识可以从哪里得到，再厚起脸皮问一下吧

在我本地的机器上，无论是mysql4.0.14还是mysql4.0.21，执行“SELECT * FROM table1 WHERE field1='dau'”会检索出field1='新u'的记录，执行“SELECT 'dau'='新u'”结果会是1,而在java-cn.com的mysql服务器上执行则还会出现这个问题，显然，这是我本地的数据库设置有问题，而且估计是字符集方面的设置。但是我看了mysql的说明书，5.8.1 The haracter Set Used for Data and Sorting，我不知道怎么样改变数据库的默认字符集。去下载一个中文的说明书看看。在网上看到一种解决此类问题的不彻底的方法：摘录如下：

......解决方法，使用 BINARY 属性进行检索，如：

select id,title,name from achech_com.news where binary title like '-0x1.ebea4bfbebe84p-4%'

返回的结果较之前正确，但英文字母区分大小写，故有时在检索如“Achech”

及“achech”的结果是不一样的。

知道了使用 BINARY 属性可以解决前面这个问题，再看看 MySQL 支持的

UCASE 及 CONCAT 函数，其中 UCASE 是将英文全部转成大写，而 CONCAT 函

数的作用是对字符进行连接，以下是我们完全解决后的 SQL 语句：

select id,title,name from achech_com.news where binary ucase(title) like concat('%',ucase('a'),'%')

检索的步骤是先将属性指定为 BINARY ，以精确检索结果，而被 like 的 title

内容存在大小写字母的可能，故先使用 ucase 函数将字段内容全部转换成大

写字母，然后再进行 like 操作，而 like 的操作使用模糊方法，使用 concat

的好处是传进来的可以是直接的关键字，不需要带“%”万用符，将“'a'”直接

换成你的变量，在任何语言下都万事无忧了。

当然你也可以这么写：

select id,title,name from achech_com.news where binary ucase(title) like ucase('0x0.00020bfbebe08p-1022%')

检索的结果还算满意吧，不过速度可能会因此而慢N毫秒喔。

......

mysql是一款适合于网络环境的数据库，在中小型应用中有着广泛的用途。本网站程序采用的数据库就是mysql。