The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

MySQL 5.0.22 и 4.1.20 с исправлением проблем безопасности.

02.06.2006 12:51

Проблемы связанные с возможностью передачи escape последовательности "\'" через некорректную компоновку символов в UTF-8 или других многобайтных кодировках, изначально найденные в PostgreSQL, не обошли стороной и MySQL, в связи с чем и были выпущены новые версии 5.0.22 и 4.1.20.

Если по каким-то причинам обновление сервера невозможно, рекомендуется в качестве временной меры использовать: 

   SET sql_mode='NO_BACKSLASH_ESCAPES';
   SET GLOBAL sql_mode='NO_BACKSLASH_ESCAPES';

Функции mysql_real_escape_string() или addslashes() в PHP проблемы не решают.

Как дополнение, можно упомянуть выход статьи "Security and More in MySQL Databases" в которой рассмотрены опции и системные переменные в MySQL, имеющие отношение к безопасности, производительности и анализу текущего состояния.

  1. Главная ссылка к новости (http://lists.mysql.com/announc...)
  2. Changes in release 4.1.20
  3. Changes in release 5.0.22
  4. MySQL - Information Disclosure and Buffer Overflow Vulnerabilities
  5. MySQL addresses SQL injection vulnerability
  6. MySQL - SQL-injection security vulnerability
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/7660-mysql
Ключевые слова: mysql, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, replicant (?), 14:25, 02/06/2006 [ответить]  
    		• +/
    В названии новости ошибка ... не 4.0.20 ...

    кстати а ветке 4.0.х такое не известно SET sql_mode='NO_BACKSLASH_ESCAPES';
       SET GLOBAL sql_mode='NO_BACKSLASH_ESCAPES';

    как тогда быть?

     
  • 1.2, oc (?), 14:48, 02/06/2006 [ответить]  
    		• +/
    4.1.20, а не 4.0.20
     
  • 1.3, Vaso Petrovich (?), 20:24, 02/06/2006 [ответить]  
    		• +/
    новость внимательно читаем, там по русски сказанно, что проблема из-за кодировок, подержки которых в 4.0.х не было, нет подержки, нет проблемы...
     
  • 1.4, igorsia (?), 00:16, 03/06/2006 [ответить]  
    		• +/
    а пофиксили блокировку таблиц при выполненийй load concurrent infile ?
    я эту проблему увидел на 5.0.20 и 5.0.21 не исправил ее.
    пришлось откатиться на 4.1.19
    Второй глюк этой ветки с разрешениями, и программа написаная на  дельфях не может установить соединение через ADO. Вылечилось как и предидущее...
     
  • 1.5, пан Каховски (?), 14:53, 03/06/2006 [ответить]  
    		• +/
    ого! Ща пойду ломать всё подряд и портить нервы админам :)
     
  • 1.6, Аноним (-), 22:39, 06/06/2006 [ответить]  
    		• +/
    а как сервер узнает что это данные в "UTF-8 или других многобайтных кодировках"?
    если кодировка по-умолчанию выставлена типа latin1 или если в скрипте указано что-нить типа set character_set_client=cp1251?
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру