18.12.2012, 09:21
|
|
Новичок
Регистрация: 23.02.2012
Сообщений: 7
С нами:
7483286
Репутация:
0
|
|
Сообщение от None
load_file проверяется наличием file_priv у текущего пользователя mysql
mysql.user не доступна
Сообщение от None
Выход за пределы каталога при load_file обычно проверяю так - пишу любой файл в папку /tmp через into outfile, потом подгружаю его через Load_file.
Выход за пределы каталога теоретически возможен через скрипт серевера, в load_file в этом нет нужды, ее нужно проверить на доступность.
into outfile судя по всему не доступна, т.к. включены "магические кавычки". Но там, где в качестве параметра к запросу передается число, mysql injection доступна.
Сообщение от None
/etc/passwd и /etc/hosts
не доступны...
|
|
|