URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 15994
[ Назад ]

Исходное сообщение
"OpenNews: MySQL 5.0.22 и 4.0.20 с исправлением проблем безопасности."
Отправлено opennews , 02-Июн-06 14:25

Проблемы (http://lists.mysql.com/announce/364) связанные с возможностью передачи escape последовательности "\'" через некорректную компоновку символов в UTF-8 или других многобайтных кодировках, изначально найденные в PostgreSQL (https://www.opennet.ru/opennews/art.shtml?num=7579), не обошли стороной (http://lists.mysql.com/announce/364) и MySQL, в связи с чем и были выпущены новые версии 5.0.22 (http://dev.mysql.com/doc/refman/5.0/en/news-5-0-22.html) и 4.0.20 (http://dev.mysql.com/doc/refman/4.1/en/news-4-1-20.html).

Если по каким-то причинам обновление сервера невозможно, рекомендуется в качестве временной меры использовать:

SET sql_mode='NO_BACKSLASH_ESCAPES';
SET GLOBAL sql_mode='NO_BACKSLASH_ESCAPES';

Функции mysql_real_escape_string() или addslashes() в PHP проблемы не решают.

Как дополнение, можно упомянуть выход статьи "Security and More in MySQL Databases (http://www.devshed.com/c/a/MySQL/Security-and-More-in-MySQL-.../)" в которой рассмотрены опции и системные переменные в MySQL, имеющие отношение к безопасности, производительности и анализу текущего состояния.

URL: http://lists.mysql.com/announce/364
Новость: https://www.opennet.ru/opennews/art.shtml?num=7660

Содержание

MySQL 5.0.22 и 4.0.20 с исправлением проблем безопасности.,replicant, 14:25 , 02-Июн-06
MySQL 5.0.22 и 4.0.20 с исправлением проблем безопасности.,oc, 14:48 , 02-Июн-06
MySQL 5.0.22 и 4.1.20 с исправлением проблем безопасности.,Vaso Petrovich, 20:24 , 02-Июн-06
MySQL 5.0.22 и 4.1.20 с исправлением проблем безопасности.,igorsia, 00:16 , 03-Июн-06
MySQL 5.0.22 и 4.1.20 с исправлением проблем безопасности.,пан Каховски, 14:53 , 03-Июн-06
MySQL 5.0.22 и 4.1.20 с исправлением проблем безопасности.,Аноним, 22:39 , 06-Июн-06

Сообщения в этом обсуждении

"MySQL 5.0.22 и 4.0.20 с исправлением проблем безопасности."
Отправлено replicant , 02-Июн-06 14:25

В названии новости ошибка ... не 4.0.20 ...
кстати а ветке 4.0.х такое не известно SET sql_mode='NO_BACKSLASH_ESCAPES';
SET GLOBAL sql_mode='NO_BACKSLASH_ESCAPES';
как тогда быть?

"MySQL 5.0.22 и 4.0.20 с исправлением проблем безопасности."
Отправлено oc , 02-Июн-06 14:48

4.1.20, а не 4.0.20

"MySQL 5.0.22 и 4.1.20 с исправлением проблем безопасности."
Отправлено Vaso Petrovich , 02-Июн-06 20:24

новость внимательно читаем, там по русски сказанно, что проблема из-за кодировок, подержки которых в 4.0.х не было, нет подержки, нет проблемы...

"MySQL 5.0.22 и 4.1.20 с исправлением проблем безопасности."
Отправлено igorsia , 03-Июн-06 00:16

а пофиксили блокировку таблиц при выполненийй load concurrent infile ?
я эту проблему увидел на 5.0.20 и 5.0.21 не исправил ее.
пришлось откатиться на 4.1.19
Второй глюк этой ветки с разрешениями, и программа написаная на дельфях не может установить соединение через ADO. Вылечилось как и предидущее...

"MySQL 5.0.22 и 4.1.20 с исправлением проблем безопасности."
Отправлено пан Каховски , 03-Июн-06 14:53

ого! Ща пойду ломать всё подряд и портить нервы админам :)

"MySQL 5.0.22 и 4.1.20 с исправлением проблем безопасности."
Отправлено Аноним , 06-Июн-06 22:39

а как сервер узнает что это данные в "UTF-8 или других многобайтных кодировках"?
если кодировка по-умолчанию выставлена типа latin1 или если в скрипте указано что-нить типа set character_set_client=cp1251?