推薦語

在計算機世界里，數據庫可能是最重要的發明之一，它讓計算機程序可以高效地管理和使用數據。在互聯網誕生之前，科學家就發明了數據庫。如果說計算是生產力，數據是生產資料，那么數據庫就是生產資料最重要的載體。現今，互聯網世界每一個系統的運轉，幾乎都離不開數據庫，我們在微信上的每一次聊天、在淘寶上的每一筆交易，甚至我們每次出行時都要刷的公交卡，背后都有數據庫的支撐。

在程序員們創造的所有數據庫中，MySQL是當下最流行的那一個，它隨著互聯網的普及蓬勃發展。作為一個數據庫，MySQL 有優秀的開源版本，這讓程序員能夠很好地掌握它的特性。同時，MySQL比Oracle“輕”，比SQL Server“開放”。在廣受程序員歡迎的LAMP架構（Linux+Apache+MySQL+PHP）中，MySQL是舉足輕重的一環。LAMP架構幾乎撐起了互聯網的半壁江山，深受站長們的喜愛。然而，正由于LAMP架構太受歡迎，黑客們也熱衷于研究它的漏洞——這就是我們需要認真研究MySQL安全性的重要出發點——只有比黑客更了解MySQL的安全特性，才能有效地保護它。

MySQL是關系型數據庫的代表。盡管隨著技術的發展，我們有了更多的選擇——除了關系型數據庫，還出現了很多非關系型的輕量級數據庫，例如倍受歡迎的 MongoDB、Redis 等，同時，在大數據領域出現了HBase等產品——但是，這些新技術的出現是為了解決新問題的，我們更應該將其視為對現有技術架構的有益補充，讓它們與MySQL相輔相成。在被Oracle收購后，MySQL除了獲得更多的資金與活力，也在云計算的浪潮下開始嘗試采用分布式解決方案，而這將為它的長遠發展奠定基礎。

本書的作者之一陳小兵，曾經在一個稱得上“孤軍奮戰”的環境里堅持網絡安全技術研究，且碩果累累。這本書是他對 MySQL 安全經驗的總結，充滿了實戰味兒。我也有幸能和他一起工作。在工作中，我深深地被他的敬業精神打動。他一絲不茍的品質和負責任的態度，相信讀者們也能從本書中深切地感受到。

吳翰清

自2015年以來，數據變得尤為重要——企業需要擁有強大的數據庫，個人想建立屬于自己的數據庫。然而，數據庫安全是基線，是核心。從事網絡安全十幾年來，第一次看到蔣劭捷及其團隊，以做學問的方式對MySQL數據庫的各種滲透場景進行研究、分析和再現。

作者團隊在這本書中不僅分享了 MySQL 數據庫操作的基礎知識，工具注入及手工注入方面的技巧，以及獨到的滲透測試及安全加固、優化經驗等，還詳細講述了在 MySQL 數據庫配置和維護各個階段經常遇到的安全問題和技術挑戰，以及MySQL數據庫滲透測試中的一些高級應用。

本書內容皆為實踐經驗總結，深度挖掘和解析了 MySQL 數據庫的安全特性，系統全面地討論了MySQL安全攻防，內容極具指導意義。正如“神話行動”所倡導的：理論是基礎，實踐是能力。本書作者之一蔣劭捷是“神話行動”的學員之一，熱衷于安全技術的學習、沉淀、實戰和分享，進步迅速。本書內容由淺入深，有基礎，有理論，更有實戰，是一本值得推薦的MySQL安全圖書。

王英鍵（呆神）

未來安全CEO，XCon創始人，“神話行動”創始人

認識 Simeon（陳小兵）是因為在網上看到他寫的技術文章，后來才知道他從 2005 年開始就在網上發表安全技術博客文章。Simeon是安全行業的一名老兵，從他的文章中可以看出，他能將復雜的安全技術由淺入深、循序漸進地講清楚，所以，我決定邀請他來我組織的 DEFCON GROUP 010做技術分享。我也寫過幾本書，深知圖書作者不僅需要深入理解自己要講解的內容，還需要具備把自己要講解的內容用讀者能夠讀懂的文字表達出來的能力，這些考驗的是耐心和經驗。Simeon堅持寫作技術文章十幾年，堅持分享自己從實際工作中總結出來的心得體會，這不僅體現出他的耐心，更體現出他樂于分享的態度。

本人所在的 360 獨角獸團隊主要研究無線安全、硬件安全、智能汽車安全等前沿領域，但就目前的情況看，在大部分網絡攻擊事件中，攻擊者的終極目標都是數據，所以，我們在對前沿領域保持關注的同時，也對數據庫漏洞這種影響范圍廣且受到攻擊時“刀刀見血”的基礎領域進行了深入、扎實的研究。事實上，當前對互聯網和信息系統的使用，本質上還是對數據的保存、傳輸和處理，每個熱門的網絡安全領域都無法回避數據安全這個話題，IoT 安全、云計算云安全、AI 安全、移動安全……每個領域都需要對數據進行保護。例如，一套 IoT 控制系統的數據庫中的數據被篡改，就可能對物理安全產生影響。

懂技術的人很多，能把技術講清楚的人卻很少。Simeon已經出版了多本網絡安全圖書，足見他在寫作和“講故事”方面的能力和經驗，所以，相信本書會是一部“把復雜的技術講簡單”的優秀作品。本書由淺入深地對 MySQL 數據庫進行了透徹的安全分析，同時輔以豐富的示例，幫助讀者加深理解，有理論，有實踐。相信讀者在閱讀本書后，能將本書內容應用到實際工作中，甚至將書中討論的攻防思路擴展應用到其他數據庫系統中。

李均（selfighter）

360獨角獸團隊研究員，DEFCON GROUP 010發起人

網絡安全已上升到國家戰略高度。作為網絡安全從業者，我們的使命感和責任感也越來越強。網絡攻防技術的發展伴隨著計算機技術的發展，始終在不斷變化。內外部環境的變化使企業數據安全保護變得越來越重要，對數據的使用要求也越來越嚴格。因此，網絡安全從業者需要不斷學習，保持對技術的專注。

本書著眼于 MySQL 數據庫安全，凝結了小兵大量的心血和寶貴經驗，通過豐富的示例和經驗總結，幫助安全從業人員和數據庫工作者了解常見的攻擊方式和防范原理，適合廣大網絡安全愛好者學習。

行百里者半九十。網絡安全的探究之路沒有終點，小兵和他的團隊始終在一線探索和實踐，并樂于分享他們的研究成果，在改善網絡安全環境、提升網絡安全防護水平方面做出了貢獻，值得我們學習。期待小兵和他的團隊將這種分享精神保持下去，為我們帶來更多、更好的網絡安全著作。

羅詩堯

微博安全總監

從最初研究網絡攻防技術開始，我一直熱衷于各種網絡安全技術和管理方法的學習。在過去十多年里，各種各樣的網絡攻防技術讓我認識到網絡空間安全的重要性。不知攻，焉知防，要想做好安全防護，就應該了解和掌握攻擊的基本原理及危害。

數據庫在企業業務中的重要性不言而喻，其安全性尤為重要。在近幾年發生的大量網絡安全事件中，數據庫漏洞導致大規模公民隱私和企業核心數據泄露的案例屢見不鮮。因此，本書的出版正逢其時。本書由淺入深、循序漸進地對 MySQL 數據庫的安全問題和加固方法進行了全面的總結，語言平實易懂、內容翔實、圖文豐富，可以幫助廣大網絡安全研究者全方位地了解 MySQL 數據庫的各類安全漏洞和防御方法，是一本值得推薦的網絡安全技術讀物。

愿您有一個愉快的閱讀體驗，并通過本書打開數據庫安全這扇大門。愿書中的知識和作者的研究成果能夠幫助您，讓企業的數據庫穩如泰山。

施勇

博士，CISSP/CISA，（ISC）²上海分會主席，上海交通大學網絡空間安全學院講師

互聯網的數據安全尤為重要，而MySQL是互聯網中使用最廣泛的數據庫，因此，了解MySQL數據庫的攻擊與防御成為數據庫管理員的一項必備技能。

本書是從安全研究人員的角度編寫的。作者將理論和實踐結合起來，展示了 MySQL 數據庫網絡攻防的相關內容。細細看完書中的案例，感覺從零開始構建一個數據庫系統，需要注意的安全要點非常多，書中的案例值得我們花時間好好研究和分析。希望MySQL開發人員、MySQL數據庫管理員，以及從事MySQL相關工作的人，能夠通過研讀本書，舉一反三，加固自己的數據庫。

數據安全的世界如此美妙。作為一名 MySQL 從業人員，我希望未來能有更多的人關注數據安全，為中國的數據安全護航。

吳炳錫

知數堂聯合創始人，3306π社區創始人

我是一名網絡安全與執法專業的老師，關注網絡犯罪偵查與電子數據取證。幾年的專業教學讓我體會到，網絡空間安全技術這門新興學科，知識體系的構建實屬不易，更別提親手實踐、梳理并形成書稿了——這必然是一個耗盡腦力、心力和體力的過程。在我開設的數據庫原理與應用課程中，作為應用最廣泛的關系型數據庫系統，與 MySQL 相關的內容是不可或缺的，然而，如何對針對MySQL數據庫的攻擊進行調查取證、如何進行MySQL數據庫的日常安全檢查等內容，學生們很難從體系化的教材中學習到。

本書正可以解決我們教學中的難題。本書聚焦于 MySQL 數據庫攻擊與防御，有三大特點：一是實，二是專，三是深。本書有很高的實踐價值，實用性和實戰性強，既能實實在在解決問題，又能對一個領域進行全面深入介紹且兼具理論和實踐。

張璇

山東警察學院

互聯網+時代，盡管信息化、數字化、智能化成為常態，但其本質還是數據驅動的時代，數據仍在企業的發展和創新過程中扮演著重要角色。而數據庫作為數據存儲的集合，重要性不言而喻，是重要的安全防護對象。本書由淺入深講解了 MySQL 數據庫的基礎理論、安全漏洞和加固方案，同時輔以案例，加深讀者對技術的理解，相信不論是安全從業人員還是安全技術愛好者，都能從本書中獲益。

肖茂林

順豐SRC負責人

當前，數據隱私變得越來越重要。網絡數據泄露事件愈演愈烈，嚴重影響社會生活及金融支付安全。數據庫作為網絡世界存儲數據的基礎組件，其自身的安全性受到越來越多的重視，成為企事業單位網絡安全體系建設中不可或缺的一環。MySQL作為應用范圍和使用人群最廣的開源數據庫，在數據存儲中扮演著重要的角色。

了解攻才能懂得防。本書作為一本專門講解 MySQL 數據庫安全攻防的專業書籍，詳細介紹了MySQL在應用中面臨的各種安全風險，并結合案例進行具體分析，在具有技術可讀性的同時，提高了可操作性。

馮繼強（風寧）

本著務實的精神，本書從多個維度對 MySQL 數據庫安全相關內容進行了生動的講解。難能可貴的是，本書還從專業的角度給出了案例分析。本書是信息安全從業人員、在校大學生不可多得的一本實用大全，讀者完全可以依據書中的案例進行深入學習，獲得模擬實際工作場景的機會。

陳亮

OWASP中國北京負責人

本書是國內第一本 MySQL 數據庫安全攻防技術圖書。我見證了作者從提出寫作思路到完稿的全過程：在一年多的時間里，從章節設計、內容選擇、驗證測試，到斟字酌句、校對審核，中間幾易其稿，最終完成了這部MySQL數據庫安全攻防經典之作。

本書針對MySQL數據庫安全的專業技術，從MySQL數據庫的安裝到應用、從手工注入到工具滲透測試、從攻擊思路分析到安全架構，進行了詳細的說明。本書不僅能為新手指明學習道路，也能幫助資深網絡安全愛好者查缺補漏。相信本書一定不會辜負您對它的期待！

楊永清

天融信安全副總監

伴隨著互聯網的爆炸式發展，網絡安全已上升到國家戰略層面，網絡安全能力建設得到了高度重視。紅日安全是一個專注網絡安全和移動安全的技術型、研究型團隊，小兵老師正是紅日安全團隊的核心研究員。一口氣讀完這本書，感覺書中總結了不少常見的 MySQL 數據庫安全測試思路和加固方案，非常適合網絡安全初學者及有一定基礎的讀者閱讀。

小峰

紅日安全

絕大多數互聯網公司的核心用戶數據都存儲在數據庫中，數據庫已經直接或間接成為黑客攻擊的重點。伴隨倒賣個人信息的黑色產業鏈的迅猛發展，利用Web漏洞、內外勾結等方式竊取互聯網公司的個人數據用于黑市交易的事件屢見不鮮。因此，數據庫安全已經成為甲方安全中無法回避的一項重要工作。本書全面介紹了MySQL數據庫安全的相關內容，是一本難得的實戰指導書籍。

兜哥

百度安全實驗室AI安全負責人

本書以 MySQL 數據庫安全為主題，是作者多年實戰經驗的沉淀，對網絡安全行業具有指導意義。翻閱本書目錄，回憶起2000年年初學習攻防技術的點滴，當時若有這樣一本既包含系統總結又不忘點撥技巧的書籍，我定然視若珍寶。

傅燁文（wuly）

上海境領科技有限公司董事長、CEO，丁牛團隊創始人

本書全面介紹了與MySQL數據庫相關的攻防技術。正所謂“授人以魚不如授人以漁”，我認為，本書是一本不可多得的MySQL數據庫安全百科全書。

石祖文

華為云安全首席安全專家