来自：FreebuF

当连接MariaDB/MySQL时，输入的密码会与期望的正确密码比较，由于不正确的处理，会导致即便是memcmp()返回一个非零值，也会使MySQL认为两个密码是相同的。
也就是说只要知道用户名，不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。而且漏洞利用工具已经出现。

受影响的产品：

作者：Simeon  本文已投黑客手册杂志

本次渗透测试是随机性的，原因来自鬼仔的blog，在鬼仔的blog上面发表了一篇文章，其中提供了一款MySQLhack的工具，声称只要获取了Mysql数据库的用户名和密码并正确连接Mysql数据库服务器，就可以执行DOS命令、上传文件以及下载文件并执行等功能。软件需要Microsoft .NET Framework 2.0 支持，如果没有安装Microsoft .NET Framework 2.0则无法运行该软件。对于新工具，我从来都不会拒绝，而且这种好工具怎么能够放过，掌握以后，在渗透测试中非常有用，本次的故事，也就开始了！

来源：T00LS
MySQL 利用工具.
连接对方的MySQL后,可以上传文件,执行dos命令.以及下载文件并运行.

软件需要 Microsoft .NET Framework 2.0 支持 无法打开软件请安装 Microsoft .NET Framework 2.0

出处:IT168

1、前言

　　MySQL是完全网络化的跨平台关系型数据库系统，同时是具有客户机/服务器体系结构的分布式数据库管理系统。它具有功能强、使用简便、管理方便、运行速度快、安全可靠性强等优点，用户可利用许多语言编写访问MySQL数据库的程序，特别是与PHP更是黄金组合，运用十分广泛。

来源：linx2008

Mysql BackDoor是一款针对PHP+Mysql服务器开发的后门,后门安装后为Mysql增加一个可以执行系统命令的"state"函数,并且随 Mysql进程启动一个基于Dll的嗅探型后门,从而巧妙地实现了无端口,无进程,无服务的穿墙木马.程序在WINXP、 WIN2003+MYSQL5.0.X下通过.

出处:80sec
函数严格限制SQL文里出现

　　###########################################

冷漠PS：今天一直在架设 FreeBSD+zend+php+Mysql+phpmyadmin ，但是在编译 apache 的时候总是出错，httpd 总是起不来，
出现如下错误：

基础介绍:
1.在linux下使用下列命令,请确认mysql的bin目录是否已经加入到PATH路径中,或者是已经进入到mysql安装路径下的bin目录
查看PATH
shell> echo $PATH
或者
shell> cd /usr/local/mysql/bin

文章作者：MIKA[EST]
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

说实话俺本来不想再发了，因为俺发出来以后没人给俺提提意见（俺不需要你说那些夸奖的话，俺只是想能有人提出一些建议或者修正一些bug），先前发的那些有一些代码是肯定有问题的了，可是就只见有人用没见有人提出这些不对的地方，好伤心啊

一.  准备工作：
apache 2.2.4       下载 http://httpd.apache.org
mysql 5.0.22       下载http://www.mysql.com
php 5.2.1         下载  http://www.php.net

来源:IT Lab
www服务器是目前Internet上最流行的信息载体，目前的www服务器主要分为两大阵营－Unix-Like上面的Apache与Windows上面的IIS.就性价比来说，当然是Linux上面的Apache最棒。www服务器的类型可以分为静态与动态，而这些动态的网站中，很多都是目前Linux＋Apache＋Mysql＋PHP架设而成，简称为LAMP.

具体安装步骤与方法如下：
1. MySQL的安装
•解压mysql5 的安装包:tar –zxvf mysql-5.0.16.tar.gz
•进入解压后的安装包: cd mysql-5.0.16
•配置:
./configure

PS:关于这方面的东西我试了很多方法，网上有的配置方法都是错误的，http.conf 文件修改后，都会造成

文件我已经打包..附件下载
Very nice shell for MySQL when Safe Mode = ON

来源:315safe
默认安装的mysql服务不安全因素涉及的内容有：