在日常工作中，我们经常会遇到数据库升级，同时还会涉及到是否有权限的问题。这就是为了防止升级攻击，所加设的一道安策略。如何解决和判断呢？由郑州北大青鸟翔天信鸽教员张老师给详细的讲解一下。

    在权限升级攻击在用户通过利用系统中的漏洞获得额外的访问系统权限时，就有可能发生。数据库可能与其他具有权限升级的软件一样有类似的问题：如果数据库功能或数据库的其它部分有漏洞，用户就可能利用该漏洞来获取具有更高权限的用户的帐号。

   数据库中因权限升级所引起的一个较大威胁是未授权的用户能够访问存储在数据库中的敏感信息，但是这也有可能发生在文件系统中。可能我们需要更担心的是一些数据库允许具有升级权限的用户在数据库的授权下在操作系统中运行本地程序。权限升级漏洞也可能使攻击者完控制托管数据库的系统，通过操作系统执行命令。

    解决方案：先你需要确定数据库是否在较小权限下运行（这可能需要数据库管理员的帮助，他了解应用程序的权限机制），然后确定用户是否具有较小的访问权限来完成他们的工作；这个需要在数据库安策略中解决。为了确定数据库所使用的操作系统权限，请查找进程表，查看数据库进程所使用的用户ID。如果数据库在根、管理员或其他授权账户下运行，就有可能出现权限升级问题。除了这个问题，具有权限来执行软件的用户，或允许用户在数据库中执行软件的漏洞，这些问题都有可能造成更大的威胁。