Linux

這些 MySQL 使用者設置是否容易受到攻擊?

  • March 22, 2010

截屏

我正在使用 PHPMyAdmin 來管理數據庫,而且我一般是 SQL 新手。我是否想在 localhost 上保留一個開放的匿名使用者,以便 Drupal 之類的東西可以訪問 MySQL?似乎在我的伺服器主機名上有一個非密碼根是遲鈍的,但我不知道我在做什麼一般。名稱以 a 開頭的使用者b是我用來登錄並執行諸如創建數據庫之類的操作的使用者。

您不需要沒有密碼保護的帳戶。我的建議:

  • 讓 root 帳戶可以從 localhost 訪問,所有權限都具有密碼保護
  • 刪除其他根帳戶
  • 創建受限帳戶$$ probably just select/insert/update/delete $$為您的網路應用程序。
  • 當你在做一些 webapp 更新時$$ that require change in sql structure $$暫時授予使用者從前一點修改結構的權限,並在成功升級後 - 撤銷這些權限。

您擁有的任何訪問 MySQL 的應用程序都應該提供連接憑據,並且應該使用一個只有足夠權限才能完成所需操作的帳戶。例如,不需要有一個帳戶,只需要能夠寫入您的 Drupal 數據庫,可以訪問伺服器上的所有數據庫。

設置完成後,您可以擺脫或添加密碼到沒有密碼的帳戶,從而消除該安全漏洞。

引用自:https://serverfault.com/questions/124936