序1

在计算机世界里，数据库可能是最重要的发明之一，它让计算机程序可以非常有效率的管理和使用数据。数据库迄今已有大概六十多年的历史，远在互联网诞生之前，科学家就发明了数据库。如果说计算是生产力，数据是生产资料，那么数据库就是生产资料最重要的载体，现今互联网世界的每个系统运转，几乎都离不开数据库。我们在微信上的每次聊天，在淘宝上的每笔交易，甚至是每次出行刷地铁、公交卡，背后都有着数据库的支撑。

在程序员们创造的所有数据库中，MySQL又是最流行的那个，它随着互联网的普及而蓬勃发展。作为一个数据库，MySQL有很好的开源版本，这让程序员能够非常好的掌握它的特性。同时它比Oracle要轻，比微软的SQL Server又要开放。在最受程序员们欢迎的LAMP架构中（Linux+Apache+MySQL+PHP），是举足轻重的一环。而LAMP架构几乎构建起了互联网的半壁江山，深受站长们的喜爱。然而正是由于LAMP架构太受欢迎，因此黑客们也很热衷于研究它的漏洞。这是我们需要认真研究MySQL安全性的重要出发点，只有比黑客们更了解MySQL的安全特性，才能有效的保护它。

MySQL是关系型数据库的代表，尽管随着技术的发展，我们有了更多的选择。除了关系型数据库外，目前也出现了很多非关系型的轻量级数据库，比如倍受欢迎的mongodb、redis等，同时在大数据领域也出现了HBase等产品，但是我们也很清楚的看到，这些新技术的出现，是为了解决新问题，我们更应该将其视为对现有技术架构的补充，与MySQL相得益彰。当前MySQL被Oracle收购后，注入了新的资金与活力，也与时俱进，在云计算的浪潮下开始尝试分布式的解决方案，这将为它的长远发展奠定更好的基础。

本书的作者陈小兵，是公务员出身，非常难能可贵的是他在一个几乎孤军奋战的环境里，持之以恒的坚持网络安全技术研究，硕果累累。这本书，是他对MySQL安全经验的很好总结，充满了浓浓的实战味儿。我也很有幸，从今年开始，能和陈小兵一起工作。在工作中我深深被他的敬业精神所打动，他一丝不苟的品质和负责任的态度在本书中也让读者们能够深切的感受到。

吴翰清

2018年10月   上海

序2

自2015年以来，数据变得尤为重要，公司需要拥有强大的数据库，个人更想建立属于自己的数据库，而数据库安全是基线，是公司的核心。没有网络的安全就没有国家的安全，从事网络安全十几年来，第一次了看到劭捷及其团队，以做学问的方式，将MySQL数据库遇到的各种渗透场景进行研究、分析和再现。作者在这本书中给我们详细分享了前期MYSQL数据库操作的基础知识，到中期MYSQL工具注入以及手工注入等使用技巧，以及后期MYSQL独到的渗透提权、实战渗透以及安全加固优化经验等技术要点，还详细讲述了在MYSQL数据库各个阶段中常遇见的安全问题与技术挑战，以及MYSQL数据库的在渗透中的一些高级应用。

此书内容皆为实践经验总结，深度挖掘和解析了MYSQL数据库安全攻防特性，第一次系统全面的讨论MySQL安全攻防，开创了MySQL数据库安全的先河，将MySQL数据库攻防研究做到了极致，是一本极具指导和教育意义的书籍！正如我们“神话行动”所倡导的，理论是基础，实践是能力。本书作者蒋劭捷正是神话学员之一，在神话团队中的学习态度和平日表现都十分优秀，这两年更是进步迅速，对安全技术的探究从未停止，对安全技术进行学习、沉淀、实战和分享。此书内容由浅入深，有基础，有理论，更有实战，是一本值得推荐的MySQL安全书籍。

王英键（呆神）未来安全CEO、 XCon创始人、神话行动创始人

序3

认识Simeon是因为看到了他写的技术文章，后来在51CTO网站上看到他从2005年就开始在网上发表安全技术博客，从他的文章中能够看出他能够将复杂的安全技术由浅入深、循序渐进地讲清楚，让我觉得这是安全行业的一名老兵，所以当时就决定要邀请他来我组织的DEFCON GROUP 010活动分享技术。本人也写过几本书，深知写书不只是需要作者对书中的内容深入理解，还需要知道如何能把自己的理解用别人能够看懂的文字表达出来，这考验的是耐心和经验，Simeon坚持发表技术博客十几年，坚持分享自己从实际工作中终结出的心得体会，这不仅体现出他的耐心和技术积累也体现出他和社区分享知识的情怀。懂技术的人很多，能把技术讲清楚的人很少，Simeon已经出版了多部网络安全著作，足见他在写作和“讲故事”方面的能力和经验，所以本书会是一部把复杂技术讲简单的优秀著作。

本人所在的360独角兽团队主要研究无线安全、硬件安全、智能汽车安全等比较前沿小众的领域，但是在目前看来，在大部分网络攻击事件中，攻击者的终极目标往往就是数据，所以我们在对前沿研究领域保持关注的同时需要对数据库的安全防护这种影响范围广泛、受到攻击时刀刀见血的基础领域进行深入扎实的研究。事实上，现在对互联网或信息系统的使用本质上还是对数据的保存、传输和处理，各种热门的网络安全领域都无法避免数据安全这个话题，IoT安全、云计算云安全、AI安全、移动安全等等每个领域都需要对数据进行保护，比如一套IoT控制系统在数据库中的数据被篡改是有可能影响到物理安全的。 本书从一个攻击者的角度由浅入深地对一款应用广泛的数据库---—MySQL 进行了透彻的安全分析，同时辅以丰富的案例分析来加深读者对内容的理解，有理论有实践，有攻击有防御。相信读者在阅读本书后能够将本书内容应用于工作实践当中，能够把本书所讲的一些攻击思路、防御思路扩展应用于其他数据库系统。

   最后分享一句Elon Musk的名言“Boil things down to their fundamental truths and reason up from there, as opposed to reasoning by analogy”，因为这我觉得Simeon的写作风格非常符合这句话的意思。

李均-selfighter（360独角兽团队研究员，DC010发起人）

序4

近几年来，各部委对大型互联网企业频繁开展数据安全审查，2018年Facebook的数据泄露事件、欧盟推出的GDPR《一般数据保护法案》，这些内、外部环境的变化，使得企业对数据安全的保护越来越重要，对数据的使用也越来越严格。这本书专注数据库安全，列举大量实际案例和经验以攻击角度让安全从业人员、数据库工作者了解攻击和防范原理，这是一本专注数据库安全的书，书中所列的攻击方式都是发生在网络空间的真实攻击，凝结了作者大量的心血和宝贵经验，适合各类网络安全爱好者学习。

本书前言中提到，没有网络安全就没有国家安全，这不是空话，网络安全已上升到国家战略高度，作为网络安全从业者，我们的使命感和责任感也变得越来越强。攻防技术的发展伴随着技术的发展，始终在不断变化，网络安全从业者也需要不断学习、保持对技术的专注，保持分享和探奇的精神。

这么多年来，小兵始终在一线探索和实践攻防经验，并乐于和大家分享，这种分享和持续探究精神值得我们学习。

行百里者半九十，在网络安全的探究之路上没有终点，小兵和他的团队做出了很好的表率，和大家一起改善国内网络安全环境，提升网络安全防护水平，也一同期待小兵和他的团队将这种分享精神永续传递下去，期待以后带来更好的安全著作。

罗诗尧 微博安全总监

序5

从最初研究网络攻防技术开始，我一直热衷于各种网络安全的技术和管理的学习。在过去的十多年里，各种各样的网络攻防技术让我了解到网络空间的安全的重要性。中国有句古话“不知攻焉知防”，良好的防护应了解掌握攻击的基本原理和危害。

小兵和我结识多年，他在网络安全领域笔耕不辍的精神非常令人钦佩。本书是他众多安全技术领域专著的一环。数据库在企业业务中的重要性不言而喻，其安全性尤为重要。在近几年发生的大量安全事件中，由于数据库的漏洞导致的大规模公民隐私和企业核心数据泄露的案例屡见不鲜，该书的出版正逢其时。通过本书的介绍可以帮助广大网络安全的研究者全方位地了解到MySQL数据库的各类安全漏洞和防御方法。

具体来说，在阅读第3章有关注入与实战的内容时，就可以了解到目前最为常见的SQLMap、havij、Msf、burpsuite等工具对数据库攻击造成的具体危害，也帮助读者了解到防范此类攻击的修复建议。

书中针对MySQL数据库的各类安全技术由浅入深、循序渐进地将MySQL的安全问题和加固方法全面地进行了总结。语言平实易懂、内容详实、图文丰富，是一本值得推荐的网络安全技术读物。

愿您有一个愉快的阅读体验，通过该书打开数据库安全这扇大门。愿本书中的知识和笔者的研究成果能够帮助您、您的同事和公司，让企业的数据库稳如泰山。

施勇博士

     CISSP / CISA

                                                        (ISC)2上海分会主席

上海交通大学网络空间安全学院讲师

序6

这几年互联网安全达到国家级重示的高度，特别数据安全，也让每个人都深有体会。各种网站的数据被脱库，大到国内最大的社交网站及最大的电商的数据，小到开房记录数据等。让每个人在数据安全方面也显的非常紧张及重视。在本书中，作者通过实践和理论结合，利用当前最流行的数据库和开发语言：MySQL和PHP开发的程序给大家展示SQL注入的相关方法： SQL手工注入，通过工具进行SQL注入，盲注，Payload注入及一些流行开源系统的漏洞。 细细看完书中的案例，倒吸一口凉气，感觉如果从0开始构建一个系统，很难避免不中招，阅读本书也可以达到一个星湖灌顶的作用。 最后作者也给出一个MySQL安全加固，也值得参考。

通读本书，里面的案例，值得花点时间去研究及分析。推荐给基于MySQL开发及MySQL DBA从业人员学习。MySQL是互联网中使用最广泛的数据库，互联网的应用，开发最成功的经验也是以数据中为心去构建，互联网的数据安全，更显的被大家看重，了解MySQL数据库攻击及防御，也成为一本必备的技能。通过阅读本书，可以让读者快速集成的成长，这本书也是一名安全人员从安全的角度写的MySQL安全方面的书，比较难得。 希望陈小兵的这本书可以给从事MySQL相关工作的人员一个警钟，通过研读书中的方法，举一反三，加固自身的数据安全。这本书很棒！感谢作者的邀请我为本书做序。数据安全的世界如此美妙，作为一名MySQL从业人员，我希望更多的人关注数据安全，更多的人把发现的安全问题指正出来， 一起为中国的数据安全护航。

知数堂联合创始人3306π社区创始人 吴炳锡

序7

兵总又要出新书了，这似乎是兵总的第N本书。对此我是怀着无比崇敬和赞叹的心情来给兵总的新书写一个推荐。

实际上兵总的书以高产高质圈内闻名。因为我是一个网络安全与执法专业的老师，关注网络犯罪侦查与电子数据取证。几年的专业教学，让我体会到网络空间安全技术这门新兴学科，知识体系的构建实属不易，更别提对技术亲力亲为的实践，梳理清晰形成书稿，这必然是一个耗尽心力体力脑力的过程。

兵总这本书新书的主题聚焦在MySQL数据库攻击与防御，读后我认为本书有三大特点，一个是实，一个是专，一个是深。兵总的新书选题很有实践价值，实用和实战性强，是实实在在解决实际问题的好书，同时又是针对一个领域全面深入的介绍，理论与实践兼具。这学期我第一次开了《数据库原理与应用》课程，作为应用广泛的关系型数据库系统，MySQL的应用是必学的。而面对针对MySQL数据库的攻击，如何进行调查取证，如何进行日常安全检查，这些内容却缺乏体系化的教材，兵总的新书无疑可以解决我们的困惑。

最后，要感谢兵总及其团队的努力和坚持，让我们得以获得攻防实战第一手的知识和技能。更要学习他们对知识管理的方法，知识共享的热情！有这样的作者们在，学习者之幸也！

山东警察学院张璇于济南

                                      2018.10

序8

十数年如一日，这是我想到最适合Simeon的评价。对于技术，他不仅具有很强的钻研精神，而且愿意积极分享经验心得。自2005年开始，这位信息安全老兵就坚持不懈的将自身实战经验总结和分享，迄今已发表10多篇论文，100多篇文章和数部专业书籍。读过他的文章你就会发现，枯燥的专业技术变成浅显易懂的话术和丰富的案例，让读者更容易理解和掌握技术知识。

互联网+的时代，信息化、数字化、智能化成为常态，但其本质还是数据驱动的时代，数据在企业的发展和创新过程中扮演着重要角色。而数据库作为数据存储的集合，重要性不言而喻，其也是重要的安全防护对象。本书站在攻击者的角度，由浅入深的讲解了MySQL数据库的基础理论、安全漏洞、漏洞利用方法和加固方案，同时辅以案例加深读者对技术的理解。相信不论是安全从业人员还是安全爱好者，都会从本书中获益良多。

肖茂林顺丰SRC负责人

序9

在当前数据隐私越来越重要的时代，随着网络中数据泄漏事件愈演愈烈，严重影响社会生活及金融支付安全。做为网络世界的存放数据的基础组件——数据库自身的安全性也越来越受到重视，成为企事业单位在建设网络安全体系中不可缺少的一环。Mysql做为应用最广，使用人群最多的开源数据库，在数据库里占据了重要脚色。在DB-Engines2018年10月公布的数据库流行度排名中，Mysql以总排名第二，开源数据库排名第一无愧于官方宣称的“The world’s most popular open source database.”

未知攻，焉知防？本书做为国内第一本专注讲解Mysql数据库安全攻防的专业书籍，从专业渗透攻防角度讲解了Mysql在应用中面临的各种易被黑客攻击的安全风险，并且结合小兵在以往工作中相关案件侦办的实例讲解分析，使得本书在具有技术可读性的同时也对内容更具深刻印象，提高了可读性和实验上手可操作性。

小兵做为国家公职人员，难能可贵的一直坚持在技术第一线，工作之余也编写了大量的网络安全书籍，由衷佩服他一直坚持的好习惯，为本书写序之际，也获知踏入新的工作岗位，衷心祝愿在新的工作岗位再创佳绩。

                                    锦佰安创始人&CEO冯继强（风宁）

序10

我与陈小兵是多年好友，其技术功底扎实，经验丰富，自他编写的第一本信息安全书籍问世以来，就获得众多读者的好评，本次有幸为其做序，甚是荣幸，作为网络攻防实战研究系列之MySQL数据库攻防。本人作为OWASP中国北京主负责人很荣幸的拜读了本书的整个目录和一些章节，最大的感受就是贴合需求，生动详实。

本书详实的从渗透测试实战出发的角度，增加了诸多新型渗透手法，本着务实的精神，从环境搭建，再到渗透测试全阶段，从多个维度生动详实的进行讲解，难能可贵的还从专业的角度加入更多案件分析的内容，是每个从事信息安全的从业人员、以及在校大学生，以及一些高等职业院校学生的不可多得的一本实用大全，完全可以依据本书的案例来进行深入学习，有效的贴近企业，更好的有的放矢，甚至一些警官学校的学生也可以将本书作为一些案件分析，违法打击的参考书籍。

从本书的编写风格就可以看出其技术功底扎实、写作思路清晰，典型的谋定而后动！

OWASP 陈亮

序11

MySQL是一个使用标准SQL 语言进行访问的关系数据库管理系统。该系统得益与它体积小、速度快，尤其是源码开放、成本低的特点，成为了中小型网站开发中优先选用的网站数据库。正是由于它的普及，也造就了它成为网络安全的重灾区，也就成了互联网安全剑客的“华山论剑”竞技场；在这个自由的竞技场中安全剑客们有了尽情发挥的空间，不仅有传统招式，也有自创绝学，而且还有各种花式走位，真可谓是五花八门，让人眼花缭乱，好不精彩；

挚友小兵，他是一名具有丰富的网络攻防实战经验和严谨的经验总结型的互联网安全标兵，他具有执着、坚毅的信念和对网络安全技术无限的热爱。我非常佩服他在网络安全方面的造诣，更敬佩的是他具有把网络安全方面的实战技能经验毫无保留的与大家进行交流分享的精神，经过精心梳理总结，并系列化、系统化的完成一部部“经典”呈献给大家。也正是他的这种对技术的专注与分享精神，一次次填补了网络安全领域的技术文献空白，本书的推出是关于MySQL数据库安全攻防技术类图书的第一次，也是小兵对网络安全领域的再一次贡献，我们将期待着小兵的下一次。从他提出写这本书到完成，本人算是见证了全过程的一员，一年多的时间里，花费了小兵无数心血，从章节设计、内容精选、验证测试，到甄词酌句、校对审核，中间是几易其稿，最终完成这部MySQL数据库攻防安全的经典之作；

本书是一本纯技术的针对MySQL数据库安全的专业书籍，从MySQL数据库的安装到应用、从手工注入到工具渗透、从攻击思路到实战突击进行了详细的讲解与说明，并配有专业详细的展示。它不仅能为新学者指明学习道路，也能为老剑客丰富技能套路；最后我要说的就是：本书一定不会辜负您对它的期待！

 天融信安全副总监 杨永清

序12

伴随着互联网的爆炸式发展，网络安全已上升到国家战略层面，能直接看到效果的安全能力建设得到高度重视。在网络安全重视的同时安全团队也受到了非常大重视，建设企业安全、把握企业命脉。小兵老师作为红日安全团队核心研究员，为安全团队创造了非常高的价值。另外红日安全也是一个专注Web安全和移动安全的团队，此团队主要打造一个技术型、研究型安全团队。一口气看完小兵老师MySQL渗透测试这本书，感觉书中总结了不少常见的Web渗透思路和奇技淫巧，非常适合初学者和有一些基础的人阅读。安全圈有一句老话：未知攻，焉知防。这本书可以帮助大家找到学习安全知识的兴趣，也可以找到学习安全知识的方法。

红日安全--小峰

推荐

数据库作为绝大多数互联网公司核心用户数据的存储方式，直接或者间接的成为黑客攻击的重点。伴随倒卖个人信息的黑色产业链的迅猛发展，利用Web漏洞、内外勾结等方式窃取互联网公司的个人数据用于黑市交易的事件屡见不鲜。数据库安全成为甲方安全不可回避的一个重要的工作。兵哥的这本书，很全面的介绍了数据库安全的各个方面，是一本难得的实战指导书籍。

百度安全实验室AI安全负责人 兜哥

大数据时代，数据是饲料。小兵能适时把多年实战经验"落地"到文字上说，对网络安全行业来说有举足轻重的指导意义。每次阅览小兵的文章，总觉得如见其人，口直心直，能一句说清楚的事情，不会拐弯抹角，作为专题的书本，却能避免了长篇大论或虚而不实，实为可贵。翻阅目录，回忆起2000年初学习攻防技术的点滴，当时若有这样的系统总结又不忘点拔技巧的书籍，定然会视为珍宝。渗透是一个基础扎实，又需要知识面丰富，细心钻研分析的碎片化发散的活，小兵一直就在这条路上...

     上海境领科技有限公司董事长&CEO，丁牛团队创始人 傅烨文（wuly）

本书全面的介绍了MySQL数据库相关攻防技术，正所谓“授人以鱼不如授人以渔”，是一本不可多得的MySQL安全百科全书。

华为云安全首席安全专家石祖文