SQL próbuje odczytać dane użytkownika z tabeli użytkowników My-Sql, która zazwyczaj zawiera listę użytkowników i hostów, którzy mają dostęp do danego serwera my-sql.
Wygląda na to, że osoba próbująca oszukać mysql w celu wyrzucenia zawartości tabeli użytkownika, aby następnie mógł zarejestrować skróty hasłowe w trybie offline i dcryptować je w celu znalezienia prawidłowych loginów.
Jeśli twoja aplikacja internetowa używa loginu, który pozwoli na dostęp do tabeli użytkowników mysql, to jest to poważna wada bezpieczeństwa, jeśli używa loginu, który ma uprawnienia tylko do tabel wymaganych dla aplikacji, to nie ma informacji będą dostępne.
wskazówka bezpieczeństwa: Przy tworzeniu wszelkiego rodzaju bazy danych jest to niezwykle ważne, że aplikacja korzystająca robi to z rolą login/dostępu, który udziela go tylko to, czego potrzebuje.
Jeśli twoja aplikacja potrzebuje tylko do odczytu danych i nigdy ich nie modyfikuje, to nigdy nie powinna mieć żadnych uprawnień poza czytaniem. Zawsze trzeba to sprawdzić dwukrotnie, ponieważ większość systemów baz danych domyślnie tworzy role użytkowników dla danej bazy danych z pełnym odczytem, tworzeniem, modyfikowaniem uprawnień.
Zawsze twórz określonego użytkownika, tylko dla tej bazy danych i/lub zbioru tabel, i zawsze dawaj temu użytkownikowi absolutne minimum, które jest wymagane, jeśli twoja aplikacja zostanie następnie zhakowana przez atak z użyciem skryptów krzyżowych, większość z nich będzie uzyskać dostęp, to ta konkretna baza danych.
Wygląda na to, że próbują zawęzić zestaw znaków, którego używa db. –
Dziwne, to zapytanie pojawia się w całym Internecie - choć nie na angielskich stronach heh .. Zapytanie wygląda dla mnie jednak bezużytecznie! Najwyraźniej czegoś szukają. –