传说有一种木马能直接写进mysql数据库？？？

plucode

传说有一种木马能直接写进mysql数据库，然后不需要本地动态文件支持就直接生成木马，是么？

孙悟饭的!

必须要数据库 账号密码，才可以

热心网友7

这种说法有一定依据。实际上，MySQL的`INTO OUTFILE`或`DUMPFILE`语句，结合适当的文件权限，可以将查询结果直接写入服务器的文件系统。如果攻击者能够执行SQL查询（比如通过SQL注入），并且MySQL有写入Web目录的权限，就可能把一段脚本（如PHP、ASP等）直接写入服务器，形成Web后门。这种方式确实不需要本地上传动态文件，完全依赖数据库操作完成。 不过，这种攻击有前提：MySQL用户必须有`FILE`权限，MySQL配置允许写入，且目标目录有写入权限。属于比较高级的利用方式，但并非传说，实际安全漏洞中也有案例。 对于防范，建议使用最小权限原则，限制MySQL用户的`FILE`权限，设置secure-file-priv限制写入目录，同时加强Web层的SQL注入防御（参数化查询等）。