mysql注入限制

mysql数据库

5.0以上版本可以 load_file into outfile

可以查表，因为库里面有一个information_schema

5.7.6以上版本，在读写文件时，又多了一个设置：secure_file_priv （指定读写目录）

 

secure_file_priv参数说明

这个参数用来限制数据导入和导出操作的效果，例如执行LOAD DATA、SELECT ... INTO OUTFILE语句和LOAD_FILE()函数。这些操作需要用户具有FILE权限。
如果这个参数为空，这个变量没有效果；
如果这个参数设为一个目录名，MySQL服务只允许在这个目录中执行文件的导入和导出操作。这个目录必须存在，MySQL服务不会创建它；
如果这个参数为NULL，MySQL服务会禁止导入和导出操作。这个参数在MySQL 5.7.6版本引入

 

使用可以查看 show variables like '%secure%';
由于他是默认为空，所以使读写起作用，要将此开关在my.ini中添加设置成：

secure_file_priv=

另外php.ini中还有参数：

1.魔术引号开启
Php.ini文件中 magic_quote_gpc=on 开启
2.函数限制
addslashes（）

所有的 '（单引号），"（双引号），\（反斜线）和 NULL 字符都会被自动加上一个反斜线进行转义。