推荐语

在计算机世界里，数据库可能是最重要的发明之一，它让计算机程序可以高效地管理和使用数据。在互联网诞生之前，科学家就发明了数据库。如果说计算是生产力，数据是生产资料，那么数据库就是生产资料最重要的载体。现今，互联网世界每一个系统的运转，几乎都离不开数据库，我们在微信上的每一次聊天、在淘宝上的每一笔交易，甚至我们每次出行时都要刷的公交卡，背后都有数据库的支撑。

在程序员们创造的所有数据库中，MySQL是当下最流行的那一个，它随着互联网的普及蓬勃发展。作为一个数据库，MySQL 有优秀的开源版本，这让程序员能够很好地掌握它的特性。同时，MySQL比Oracle“轻”，比SQL Server“开放”。在广受程序员欢迎的LAMP架构（Linux+Apache+MySQL+PHP）中，MySQL是举足轻重的一环。LAMP架构几乎撑起了互联网的半壁江山，深受站长们的喜爱。然而，正由于LAMP架构太受欢迎，黑客们也热衷于研究它的漏洞——这就是我们需要认真研究MySQL安全性的重要出发点——只有比黑客更了解MySQL的安全特性，才能有效地保护它。

MySQL是关系型数据库的代表。尽管随着技术的发展，我们有了更多的选择——除了关系型数据库，还出现了很多非关系型的轻量级数据库，例如倍受欢迎的 MongoDB、Redis 等，同时，在大数据领域出现了HBase等产品——但是，这些新技术的出现是为了解决新问题的，我们更应该将其视为对现有技术架构的有益补充，让它们与MySQL相辅相成。在被Oracle收购后，MySQL除了获得更多的资金与活力，也在云计算的浪潮下开始尝试采用分布式解决方案，而这将为它的长远发展奠定基础。

本书的作者之一陈小兵，曾经在一个称得上“孤军奋战”的环境里坚持网络安全技术研究，且硕果累累。这本书是他对 MySQL 安全经验的总结，充满了实战味儿。我也有幸能和他一起工作。在工作中，我深深地被他的敬业精神打动。他一丝不苟的品质和负责任的态度，相信读者们也能从本书中深切地感受到。

吴翰清

自2015年以来，数据变得尤为重要——企业需要拥有强大的数据库，个人想建立属于自己的数据库。然而，数据库安全是基线，是核心。从事网络安全十几年来，第一次看到蒋劭捷及其团队，以做学问的方式对MySQL数据库的各种渗透场景进行研究、分析和再现。

作者团队在这本书中不仅分享了 MySQL 数据库操作的基础知识，工具注入及手工注入方面的技巧，以及独到的渗透测试及安全加固、优化经验等，还详细讲述了在 MySQL 数据库配置和维护各个阶段经常遇到的安全问题和技术挑战，以及MySQL数据库渗透测试中的一些高级应用。

本书内容皆为实践经验总结，深度挖掘和解析了 MySQL 数据库的安全特性，系统全面地讨论了MySQL安全攻防，内容极具指导意义。正如“神话行动”所倡导的：理论是基础，实践是能力。本书作者之一蒋劭捷是“神话行动”的学员之一，热衷于安全技术的学习、沉淀、实战和分享，进步迅速。本书内容由浅入深，有基础，有理论，更有实战，是一本值得推荐的MySQL安全图书。

王英键（呆神）

未来安全CEO，XCon创始人，“神话行动”创始人

认识 Simeon（陈小兵）是因为在网上看到他写的技术文章，后来才知道他从 2005 年开始就在网上发表安全技术博客文章。Simeon是安全行业的一名老兵，从他的文章中可以看出，他能将复杂的安全技术由浅入深、循序渐进地讲清楚，所以，我决定邀请他来我组织的 DEFCON GROUP 010做技术分享。我也写过几本书，深知图书作者不仅需要深入理解自己要讲解的内容，还需要具备把自己要讲解的内容用读者能够读懂的文字表达出来的能力，这些考验的是耐心和经验。Simeon坚持写作技术文章十几年，坚持分享自己从实际工作中总结出来的心得体会，这不仅体现出他的耐心，更体现出他乐于分享的态度。

本人所在的 360 独角兽团队主要研究无线安全、硬件安全、智能汽车安全等前沿领域，但就目前的情况看，在大部分网络攻击事件中，攻击者的终极目标都是数据，所以，我们在对前沿领域保持关注的同时，也对数据库漏洞这种影响范围广且受到攻击时“刀刀见血”的基础领域进行了深入、扎实的研究。事实上，当前对互联网和信息系统的使用，本质上还是对数据的保存、传输和处理，每个热门的网络安全领域都无法回避数据安全这个话题，IoT 安全、云计算云安全、AI 安全、移动安全……每个领域都需要对数据进行保护。例如，一套 IoT 控制系统的数据库中的数据被篡改，就可能对物理安全产生影响。

懂技术的人很多，能把技术讲清楚的人却很少。Simeon已经出版了多本网络安全图书，足见他在写作和“讲故事”方面的能力和经验，所以，相信本书会是一部“把复杂的技术讲简单”的优秀作品。本书由浅入深地对 MySQL 数据库进行了透彻的安全分析，同时辅以丰富的示例，帮助读者加深理解，有理论，有实践。相信读者在阅读本书后，能将本书内容应用到实际工作中，甚至将书中讨论的攻防思路扩展应用到其他数据库系统中。

李均（selfighter）

360独角兽团队研究员，DEFCON GROUP 010发起人

网络安全已上升到国家战略高度。作为网络安全从业者，我们的使命感和责任感也越来越强。网络攻防技术的发展伴随着计算机技术的发展，始终在不断变化。内外部环境的变化使企业数据安全保护变得越来越重要，对数据的使用要求也越来越严格。因此，网络安全从业者需要不断学习，保持对技术的专注。

本书着眼于 MySQL 数据库安全，凝结了小兵大量的心血和宝贵经验，通过丰富的示例和经验总结，帮助安全从业人员和数据库工作者了解常见的攻击方式和防范原理，适合广大网络安全爱好者学习。

行百里者半九十。网络安全的探究之路没有终点，小兵和他的团队始终在一线探索和实践，并乐于分享他们的研究成果，在改善网络安全环境、提升网络安全防护水平方面做出了贡献，值得我们学习。期待小兵和他的团队将这种分享精神保持下去，为我们带来更多、更好的网络安全著作。

罗诗尧

微博安全总监

从最初研究网络攻防技术开始，我一直热衷于各种网络安全技术和管理方法的学习。在过去十多年里，各种各样的网络攻防技术让我认识到网络空间安全的重要性。不知攻，焉知防，要想做好安全防护，就应该了解和掌握攻击的基本原理及危害。

数据库在企业业务中的重要性不言而喻，其安全性尤为重要。在近几年发生的大量网络安全事件中，数据库漏洞导致大规模公民隐私和企业核心数据泄露的案例屡见不鲜。因此，本书的出版正逢其时。本书由浅入深、循序渐进地对 MySQL 数据库的安全问题和加固方法进行了全面的总结，语言平实易懂、内容翔实、图文丰富，可以帮助广大网络安全研究者全方位地了解 MySQL 数据库的各类安全漏洞和防御方法，是一本值得推荐的网络安全技术读物。

愿您有一个愉快的阅读体验，并通过本书打开数据库安全这扇大门。愿书中的知识和作者的研究成果能够帮助您，让企业的数据库稳如泰山。

施勇

博士，CISSP/CISA，（ISC）²上海分会主席，上海交通大学网络空间安全学院讲师

互联网的数据安全尤为重要，而MySQL是互联网中使用最广泛的数据库，因此，了解MySQL数据库的攻击与防御成为数据库管理员的一项必备技能。

本书是从安全研究人员的角度编写的。作者将理论和实践结合起来，展示了 MySQL 数据库网络攻防的相关内容。细细看完书中的案例，感觉从零开始构建一个数据库系统，需要注意的安全要点非常多，书中的案例值得我们花时间好好研究和分析。希望MySQL开发人员、MySQL数据库管理员，以及从事MySQL相关工作的人，能够通过研读本书，举一反三，加固自己的数据库。

数据安全的世界如此美妙。作为一名 MySQL 从业人员，我希望未来能有更多的人关注数据安全，为中国的数据安全护航。

吴炳锡

知数堂联合创始人，3306π社区创始人

我是一名网络安全与执法专业的老师，关注网络犯罪侦查与电子数据取证。几年的专业教学让我体会到，网络空间安全技术这门新兴学科，知识体系的构建实属不易，更别提亲手实践、梳理并形成书稿了——这必然是一个耗尽脑力、心力和体力的过程。在我开设的数据库原理与应用课程中，作为应用最广泛的关系型数据库系统，与 MySQL 相关的内容是不可或缺的，然而，如何对针对MySQL数据库的攻击进行调查取证、如何进行MySQL数据库的日常安全检查等内容，学生们很难从体系化的教材中学习到。

本书正可以解决我们教学中的难题。本书聚焦于 MySQL 数据库攻击与防御，有三大特点：一是实，二是专，三是深。本书有很高的实践价值，实用性和实战性强，既能实实在在解决问题，又能对一个领域进行全面深入介绍且兼具理论和实践。

张璇

山东警察学院

互联网+时代，尽管信息化、数字化、智能化成为常态，但其本质还是数据驱动的时代，数据仍在企业的发展和创新过程中扮演着重要角色。而数据库作为数据存储的集合，重要性不言而喻，是重要的安全防护对象。本书由浅入深讲解了 MySQL 数据库的基础理论、安全漏洞和加固方案，同时辅以案例，加深读者对技术的理解，相信不论是安全从业人员还是安全技术爱好者，都能从本书中获益。

肖茂林

顺丰SRC负责人

当前，数据隐私变得越来越重要。网络数据泄露事件愈演愈烈，严重影响社会生活及金融支付安全。数据库作为网络世界存储数据的基础组件，其自身的安全性受到越来越多的重视，成为企事业单位网络安全体系建设中不可或缺的一环。MySQL作为应用范围和使用人群最广的开源数据库，在数据存储中扮演着重要的角色。

了解攻才能懂得防。本书作为一本专门讲解 MySQL 数据库安全攻防的专业书籍，详细介绍了MySQL在应用中面临的各种安全风险，并结合案例进行具体分析，在具有技术可读性的同时，提高了可操作性。

冯继强（风宁）

本着务实的精神，本书从多个维度对 MySQL 数据库安全相关内容进行了生动的讲解。难能可贵的是，本书还从专业的角度给出了案例分析。本书是信息安全从业人员、在校大学生不可多得的一本实用大全，读者完全可以依据书中的案例进行深入学习，获得模拟实际工作场景的机会。

陈亮

OWASP中国北京负责人

本书是国内第一本 MySQL 数据库安全攻防技术图书。我见证了作者从提出写作思路到完稿的全过程：在一年多的时间里，从章节设计、内容选择、验证测试，到斟字酌句、校对审核，中间几易其稿，最终完成了这部MySQL数据库安全攻防经典之作。

本书针对MySQL数据库安全的专业技术，从MySQL数据库的安装到应用、从手工注入到工具渗透测试、从攻击思路分析到安全架构，进行了详细的说明。本书不仅能为新手指明学习道路，也能帮助资深网络安全爱好者查缺补漏。相信本书一定不会辜负您对它的期待！

杨永清

天融信安全副总监

伴随着互联网的爆炸式发展，网络安全已上升到国家战略层面，网络安全能力建设得到了高度重视。红日安全是一个专注网络安全和移动安全的技术型、研究型团队，小兵老师正是红日安全团队的核心研究员。一口气读完这本书，感觉书中总结了不少常见的 MySQL 数据库安全测试思路和加固方案，非常适合网络安全初学者及有一定基础的读者阅读。

小峰

红日安全

绝大多数互联网公司的核心用户数据都存储在数据库中，数据库已经直接或间接成为黑客攻击的重点。伴随倒卖个人信息的黑色产业链的迅猛发展，利用Web漏洞、内外勾结等方式窃取互联网公司的个人数据用于黑市交易的事件屡见不鲜。因此，数据库安全已经成为甲方安全中无法回避的一项重要工作。本书全面介绍了MySQL数据库安全的相关内容，是一本难得的实战指导书籍。

兜哥

百度安全实验室AI安全负责人

本书以 MySQL 数据库安全为主题，是作者多年实战经验的沉淀，对网络安全行业具有指导意义。翻阅本书目录，回忆起2000年年初学习攻防技术的点滴，当时若有这样一本既包含系统总结又不忘点拨技巧的书籍，我定然视若珍宝。

傅烨文（wuly）

上海境领科技有限公司董事长、CEO，丁牛团队创始人

本书全面介绍了与MySQL数据库相关的攻防技术。正所谓“授人以鱼不如授人以渔”，我认为，本书是一本不可多得的MySQL数据库安全百科全书。

石祖文

华为云安全首席安全专家