我最近不得不调查SQL入侵并注意到 - 对攻击者来说是一个很好的帮助。考虑到它在许多网络环境中不是一个非常有用的工具,但似乎增加了这些漏洞的潜在损害,为什么不禁用它?我无法找到方法,因此问题。
答案 0 :(得分:2)
无法禁用SQL注释解析。
正确的解决方案是确保您的应用程序不会通过始终转义用户输入来实现,或者更好地使用某种类型的参数化查询,无论是直接通过MySQL服务器API还是通过客户端的用户库 - 侧。
禁用注释可能会有所帮助,但没有它们就很容易进行SQL注入,它们只需编写另一个完整查询的开头而不是注释掉语句的其余部分。
如果由于某种原因这不可行,您可以考虑使用MySQL Enterprise Firewall(这是商业产品而非开源),它允许您设置查询白名单: https://www.mysql.com/products/enterprise/firewall.html