【IT168 技术新闻】近日，MySQL针对MySQL 4.1和5.0发布了一个更新补丁，该补丁主要用于解决之前发现的一个SQL注入漏洞。MySQL的升级方法借鉴了上周PostgreSQL对相同问题的处理方法。

    该漏洞最早是被PostgreSQL组织发现，并通过开源数据库联盟告知MySQL。漏洞存在于“mysql_real_escape_string()”函数中。一旦一些从web窗口录入的有害数据存入到MySQL数据库中后，恶意用户就可以发送异常的多字节数值，在MySQL处理这些多字节数值的时候，就会露出漏洞，从而导致恶意用户执行任意代码。

    该漏洞影响MySQL 4.1和5.0系列，建议用户立即升级到4.1.20或5.0.22。

    对于那些不能或不愿意升级到MySQL 4.1.20或5.0.22的用户，也可以设置MySQL使用SQL标准兼容模式，从而避免该漏洞被利用，具体方法如下。

    如果MySQL Server正在运行的话，你可以通过SET sql_mode='NO_BACKSLASH_ESCAPES'指令来设置；也可以在启动MySQL服务器的时候，使用--sql-mode=NO_BACKSLASH_ESCAPES选项，或者在你的MySQL配置文件中加入以下一行设置：sql-mode=NO_BACKSLASH_ESCAPES。

    在Linux系统中，配置文件通常是my.cnf，在/etc/mysql或/etc目录下，具体根据不同的Linux系统有关。

    目前已经可以从MySQL官方网站下载更新包。