Вот вы как загружаете SQL-дампы? Как-то так же, да?
# mysql database < dump.sql # psql database < dump.sqlЗнаете ли вы, что в dump.sql (в обоих случаях) можно запускать команды шелла через "\! command", прямо между INSERT-ами? И они, натурально, выполнятся от пользователя, запустившего клиент БД.
CREATE TABLE test ( a INTEGER ); \! echo "`date`: 0wned by $(basename $(readlink /proc/$PPID/exe)) dump" >> /etc/0wnedБерегите себя, ребята. Не грузите дампы из непроверенных источников от рута.
2 comments:
По историческим причинам под рутом практически не сижу :)
А с постгресом работал исключительно из-под его собственного пользователя.
Но идея интересная. Надо запомнить :)
Можно подумать "из-под его собственного пользователя" там нельзя делов наворотить: файлы с базами ему принадлежат, демоны от него крутятся...
Post a Comment