MYSQL数据库被入侵篡改了数据 该如何解决?

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS PostgreSQL,高可用系列 2核4GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: 接触mysql数据库已经很多年了,经常碰到mysql数据库被攻击,导致用户的数据库       丢失,数据库被删除,花钱找人恢复出来少则几万,多则几十万的花费,在防止数       据库被攻击的同时,也要做好数据库的实时备份,如果使用了阿里云的服务器,可       以使用阿里云的快照备份,可以及时的备份一份数据在自己手里。
接触mysql数据库已经很多年了,经常碰到mysql数据库被攻击,导致用户的数据库
 
      丢失,数据库被删除,花钱找人恢复出来少则几万,多则几十万的花费,在防止数
 
      据库被攻击的同时,也要做好数据库的实时备份,如果使用了阿里云的服务器,可
 
      以使用阿里云的快照备份,可以及时的备份一份数据在自己手里。
 
                     
 
       这么多年了摸索下来,给自己总结了一些安全经验、从数据库安全类型的角度来看
 
      ,数据库分Mysql、Mssql、Oracle、PostgreSQL,用的最多的是mysql数据库,如
 
      果再算上web前端架构,Apache、IIS、nginx都是与数据库相关的。
 
 
      数据库攻击产生是因为前端程序代码没有对用户的输入,进行详细的安全过滤,导
 
      致黑客可以篡改输入值,来进行代码的攻击,比如一些数据库的操作查询代码都可
 
      以传入到后端数据库里去。
 
 
     最常见就是是数据库的UNION查询,也是mysql中用的最多的一种获取数据库里的数
 
     据,首先是UNION带回显查询常规流程。随后是mysql报错函数的原理、与注入,黑
 
     客通过一些特殊的注入语句就可以轻松的查询到想要的信息。
 
 
     OOB注入攻击数据库
 
     OOB注入,就是通过非常规的方式将数据传输出去。同样需要secure_file_priv权
 
     限,对于Mysql有DNS(域名漏洞)和SMB两种主要带外传输方式。这种技术在概念
 
    上比较难理解,但掌握之后是非常强大的技术,除了能绕过WAF向外带出数据之外
 
     ,还可以结合XSS漏洞进行危害性更大的黑客攻击。
 
 
    宽字节注入攻击
 
    宽字节注入可以在web应用转义单引号的情况下,利用宽字节的特性,吃掉转义反
 
    斜杠。然后传入带有攻击性的代码,进而攻击数据库。
 
 
 
    以上种种都是黑客攻击数据库的方式,那么如何防止数据库被攻击?最重要的还是
 
    要在网站前端做好防护,在程序代码里尽可能的去过滤非法参数,避免恶意代码传
 
    入到数据库中去,再一个就是开始PHP的报错模式,以及mysql默认3306端口的关闭
 
     ,只允许本地调用数据库。
 
 
     把mysql运行账户的权限,限制到最小,千万不要用root以及管理员权限去运行。
 
     mysql的自身的4个库安全权限限制:
 
     user、db、TABLES_PRTV、Columns_prtv
 
     mysql密码安全策略,数字+子母+字符  最起码十位以上
 
     mysql安全日志开启,包括错误日志,查询日志记录所有的sql语句。
专注于安全领域 解决网站安全 解决网站被黑 网站被挂马 网站被篡改 网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.
相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
MySQL数据库入门学习
本课程通过最流行的开源数据库MySQL带你了解数据库的世界。   相关的阿里云产品:云数据库RDS MySQL 版 阿里云关系型数据库RDS(Relational Database Service)是一种稳定可靠、可弹性伸缩的在线数据库服务,提供容灾、备份、恢复、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼。 了解产品详情: https://www.aliyun.com/product/rds/mysql 
相关文章
|
2月前
|
存储 JSON 关系型数据库
【干货满满】解密 API 数据解析:从 JSON 到数据库存储的完整流程
本文详解电商API开发中JSON数据解析与数据库存储的全流程,涵盖数据提取、清洗、转换及优化策略,结合Python实战代码与主流数据库方案,助开发者构建高效、可靠的数据处理管道。
|
4月前
|
缓存 NoSQL 关系型数据库
美团面试:MySQL有1000w数据,redis只存20w的数据,如何做 缓存 设计?
美团面试:MySQL有1000w数据,redis只存20w的数据,如何做 缓存 设计?
美团面试:MySQL有1000w数据,redis只存20w的数据,如何做 缓存 设计?
|
2月前
|
SQL 人工智能 关系型数据库
如何实现MySQL百万级数据的查询?
本文探讨了在MySQL中对百万级数据进行排序分页查询的优化策略。面对五百万条数据,传统的浅分页和深分页查询效率较低,尤其深分页因偏移量大导致性能显著下降。通过为排序字段添加索引、使用联合索引、手动回表等方法,有效提升了查询速度。最终建议根据业务需求选择合适方案:浅分页可加单列索引,深分页推荐联合索引或子查询优化,同时结合前端传递最后一条数据ID的方式实现高效翻页。
139 0
|
16天前
|
人工智能 Java 关系型数据库
使用数据连接池进行数据库操作
使用数据连接池进行数据库操作
65 11
|
1月前
|
存储 数据管理 数据库
数据字典是什么?和数据库、数据仓库有什么关系?
在数据处理中,你是否常困惑于字段含义、指标计算或数据来源?数据字典正是解答这些问题的关键工具,它清晰定义数据的名称、类型、来源、计算方式等,服务于开发者、分析师和数据管理者。本文详解数据字典的定义、组成及其与数据库、数据仓库的关系,助你夯实数据基础。
数据字典是什么?和数据库、数据仓库有什么关系?
|
1月前
|
存储 关系型数据库 MySQL
在CentOS 8.x上安装Percona Xtrabackup工具备份MySQL数据步骤。
以上就是在CentOS8.x上通过Perconaxtabbackup工具对Mysql进行高效率、高可靠性、无锁定影响地实现在线快速全量及增加式数据库资料保存与恢复流程。通过以上流程可以有效地将Mysql相关资料按需求完成定期或不定期地保存与灾难恢复需求。
144 10
|
5月前
|
存储 缓存 数据库
数据库数据删除策略:硬删除vs软删除的最佳实践指南
在项目开发中,“删除”操作常见但方式多样,主要分为硬删除与软删除。硬删除直接从数据库移除数据,操作简单、高效,但不可恢复;适用于临时或敏感数据。软删除通过标记字段保留数据,支持恢复和审计,但增加查询复杂度与数据量;适合需追踪历史或可恢复的场景。两者各有优劣,实际开发中常结合使用以满足不同需求。
422 4
|
1月前
|
存储 关系型数据库 数据库
【赵渝强老师】PostgreSQL数据库的WAL日志与数据写入的过程
PostgreSQL中的WAL(预写日志)是保证数据完整性的关键技术。在数据修改前,系统会先将日志写入WAL,确保宕机时可通过日志恢复数据。它减少了磁盘I/O,提升了性能,并支持手动切换日志文件。WAL文件默认存储在pg_wal目录下,采用16进制命名规则。此外,PostgreSQL提供pg_waldump工具解析日志内容。
151 0
|
2月前
|
SQL 存储 缓存
MySQL 如何高效可靠处理持久化数据
本文详细解析了 MySQL 的 SQL 执行流程、crash-safe 机制及性能优化策略。内容涵盖连接器、分析器、优化器、执行器与存储引擎的工作原理,深入探讨 redolog 与 binlog 的两阶段提交机制,并分析日志策略、组提交、脏页刷盘等关键性能优化手段,帮助提升数据库稳定性与执行效率。

推荐镜像

更多