在代码审计环节,通过SQL语句执行的跟踪可以有效提高SQL注入审计的效率,主要的SQL语句审计有如下几种方式:

  • 代码中使用echo print方式打印执行的语句
  • 配置mysql服务器导出执行的语句 【本次以此例演示讲解】

1.配置mysql服务器将执行语句输出到文件中

Linux平台下为例:

可以在/etc/my.cnf中的[mysqld]下添加:
#vi /etc/my.cnf

log =/tmp/mysqls.log
#如果需要监控慢查询可以添加如下内容:
log-slow-queries = /tmp/mysqlslowquery.log
long_query_time = 1 

重启服务
service mysqld restart
就可以使用:tail -f /tmp/mysqls.log来监控了

windows平台下为例:

修改my.ini,在[mysqld]下添加log一行,
log = "c:/mysqls.log"
然后,重新启动mysql,就可以实时看到myql服务器当前正在执行的语句了。



2.通过seay的mysql审计插件