2019年7月31日下午，在腾讯CSS互联网安全领袖峰会上，知道创宇团队的LoRexxar和Dawu揭露了一个关于MySQL的LOAD DATA LOCAL INFILE指令的漏洞。并且在展会上展示了此漏洞。

通过在论坛后台UCenter配置中将UCenter数据库服务器指向恶意服务器，可实现对站点的任意文件读取，如读取站点的config/config_global.php等。

PHP内的MySQL库（php_mysql）由于PHP侧原因无法添加限制，因此通过在开启了 MySQL LOAD DATA LOCAL IN FILE 功能时禁止在后台UCenter设置中修改MySQL数据库服务器选项实现一定程度的规避。

本漏洞已通过其他渠道联系到腾讯安全团队，但15天后无任何应答，因此计划通过直接提PR修复相关漏洞。

本PR修复了上述问题，关联Issue：#I10PAQ:后台UCenter设置中MySQL数据库服务器允许在线编辑引发任意文件读取漏洞