|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
人力成本上的节省,MySQL的用户Spacemonkey实验室的首席执行官MitchPirtle如此表示:“维护MySQL使得你不需要一个年薪15万美元的DBA。 前两天在帮伴侣收拾他的主页空间时分,发明的一点关于MySQL大概人人城市疏忽的成绩:我们晓得,在安装完MySQL后,它会主动创立一个root用户和一个匿名用户,其初始暗码都是空,关于前者,良多参考材料上城市提示人人要注重实时设定一个暗码,而疏忽了后者,也许是由于后者默许设定为只能在本机利用的原因吧。
但假如你的MySQL是要供应给Web服务器作数据库服务的,疏忽这个匿名用户的价值大概相称惨痛,由于在默许设置下,这个匿名用户在localhost上几近具有和root一样的权限,这时候候,假如你的客户具有上传剧本文件、剧本文件能够举行MySQL数据库操纵(好比同意操纵MySQL的php)的权限已大概将你的MySQL修改得改头换面了:
我明天帮伴侣收拾他的主页空间的时分,试着写了一个很复杂的实行sql语句的php文件上传上往,个中毗连字中的user,password我都试着置空,host=localhost,了局发明我的sql语句能够实行,因而实行select*fromMySQL.user观察用户权限,发明这个用户在localhost权限十分高,连grant_priv都有,(观察的时分,会发明在root用户下有两行用户名、暗码为空的,但各项权限有y
的,就是这个匿名用户当地、远程权限设置了)
以是我试着用这个php页面创立一个新用户,并grant给他较高的权限,了局一举乐成,如许我就能够用这个新用户经由过程我本机的MySQLclient毗连到这个网站的MySQLserver,并用这个新创建的用户的办理权限对这个网站的MySQLserver举行办理,看到本人能够举行如许容易取得深切的数据库操纵,我怎样还敢把伴侣的主页空间的敏感材料放进这个MySQLserver呢?
改善倡议:
1、在安装完成MySQL后,不但改动root用户的的暗码,也同时改动匿名用户的暗码,办法相似改动root的暗码的体例:
MySQL>UPDATEusersetpassword=PASSWORD(yournewpassword)whereuser=;
MySQL>FLUSHPRIVILEGES;
2、如非需要,删除这个匿名用户,如许一切人要利用MySQL都必需供应用户名,即使往后出了成绩,也简单查找成绩的泉源。
3、除root用户外,其他用户包含匿名用户(假如没有删除这个用户)不该该具有grant权限,避免办理权限不受把持的分散进来。
4、付与用户updatedeletealertcreatedrop权限的时分,应当限制到特定的数据库,特别要制止一般客户具有对MySQL数据库做操纵的权限,不然你的体系设置极可能被交换失落。
5、反省MySQL.user表,作废不用要用户的shutdown_priv,reload_priv,process_priv和File_priv权限,这些权限大概泄露更多的服务器信息包含非MySQL的别的信息进来。
6、假如不盘算让你的用户利用MySQL数据库,在供应诸如php如许的剧本言语的时分,从头设置或编译你的php,作废它们对MySQL的默许撑持。
每个人都在使用它。MySQL是开源LAMP组合的一个标准组件:Linux、Apache、MySQL和Perl/PHP。根据Evans的调查,LAMP组合的迅速推广很大程度上代表着MySQL的被广泛接受。 |
|