我今天幫朋友整理他的主頁空間的時(shí)候,試著寫了一個(gè)很簡單的執(zhí)行sql語句的php文件上傳上去,其中連接字中的user,password我都試著置空,host=localhost,結(jié)果發(fā)現(xiàn)我的sql語句可以執(zhí)行,于是執(zhí)行select
* from
MySQL.user察看用戶權(quán)限,發(fā)現(xiàn)這個(gè)用戶在localhost權(quán)限非常高,連grant_priv都有,(察看的時(shí)候,會(huì)發(fā)現(xiàn)在root用戶下有兩行用戶名、密碼為空的,但各項(xiàng)權(quán)限有y
的,就是這個(gè)匿名用戶本地、遠(yuǎn)程權(quán)限設(shè)置了)