仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 988|回复: 8
打印 上一主题 下一主题

[学习教程] MYSQL教程之MySQL数据库中关于收集平安的办理计划

[复制链接]
深爱那片海 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 20:14:13 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
用户时常会发现其实自己并不是第一个选用MySQL数据库的先驱者。”  跟着收集的提高,基于收集的使用也愈来愈多。收集数据库就是个中之一。经由过程一台或几台服务器能够为良多客户供应服务,这类体例给人们带来了良多便利,但也给犯科份子形成了无隙可乘。因为数据都是经由过程收集传输的,这就能够在传输的过程当中被截获,大概经由过程十分手腕进进数据库。因为以上缘故原由,数据库平安就显得非常主要。因而,本文就以上成绩会商了MySQL数据库在收集平安方面的一些功效。
  账户平安
  账户是MySQL最复杂的平安措施。每账户都由用户名、暗码和地位(一样平常由服务器名、ip或通配符)构成。如用户john从server1举行登录大概和john从server2登录的权限分歧。
  MySQL的用户布局是用户名/暗码/地位。这个中其实不包含数据库名。上面的两条命令为database1和database2设置了SELECT用户权限。

GRANTSELECTONdatabase1.*toabc@server1IDENTIFIEDBYpassWord1;
GRANTSELECTONdatabase2.*toabc@server1IDENTIFIEDBYpassword2;
  第一条命令设置了用户abc在毗连数据库database1时利用password1。第二条命令设置了用户abc在毗连数据库database2时利用password2。因而,用户abc在毗连数据库database1和database2的暗码是纷歧样的。
  下面的设置长短常有效的。假如你只想让用户对一个数据库举行无限的会见,而对别的数据库不克不及会见,如许能够对统一个用户设置分歧的暗码。假如不如许做,当用户发明这个用户名能够会见别的数据库时,那将会形成贫苦。
  MySQL利用了良多受权表来跟踪用户和这些用户的分歧权限。这些表就是在mysql数据库中的MyISAM表。将这些平安信息保留在MySQL中长短常成心义的。因而,我们可使用尺度的SQL来设置分歧的权限。
  一样平常在MySQL数据库中可使用3种分歧范例的平安反省:
  ・登录考证
  也就是最经常使用的用户名和暗码考证。一但你输出了准确的用户名和暗码,这个考证便可经由过程。
  ・受权
  在登录乐成后,就请求对这个用户设置它的详细权限。如是不是能够删除数据库中的表等。
  ・会见把持
  这个平安范例更详细。它触及到这个用户能够对数据表举行甚么样的操纵,如是不是能够编纂数据库,是不是能够查询数据等等。
  会见把持由一些特权构成,这些特权触及到所何利用和操纵MySQL中的数据。它们都是布尔型,即要末同意,要末不同意。上面是这些特权的列表:
  ・SELECT
  SELECT是设定用户是不是可使用SELECT来查询数据。假如用户没有这个特权,那末就只能实行一些复杂的SELECT命令,如盘算表达式(SELECT1+2),或是日期转换(SELECTUnix_TIMESTAMP(NOW()))等。
  ・INSERT
  ・UPDATE
  ・INDEX
  INDEX决意用户是不是能够对表的索引举行设置。假如用户没有这个权限,那末将没法设置表中的索引。
  ・ALTER
  ・CREATE
  ・GRANT
  假如一个用户具有这个GRANT权限,那末他就能够将本人的权限授给其余用户。也就是说,这个用户能够和别的用户共享本人的权限。
  ・REFERENCES
  有了REFERENCES权限,用户就能够将别的表的一个字段作为某一个表的外键束缚。
  除以上的权限外,MySQL另有一些权限能够对全部MySQL举行操纵。
  ・Reload
  这个权限可使用户有权实行各类FLUSH命令,如FLUSHTABLES,FLUSHSTATUS等。
  ・Shutdown
  这个权限同意用户封闭MySQL
  ・PRocess
  经由过程这个权限,用户能够实行SHOWPROCESSLIST和KILL命令。这些命令能够检察MySQL的处置历程,能够经由过程这类体例检察SQL实行的细节。
  ・File
  这个权限决意用户是不是能够实行LOADDATAINFILE命令。给用户这个权限要稳重,由于有这个权限的用户能够将恣意的文件装载到表中,如许对MySQL是非常伤害的。
  ・Super
  这个权限同意用户停止任何查询(这些查询大概并非这个用户实行的)。
  以上几种权限长短常伤害的,在给用户受权限时要十分审慎。
  MySQL中的SSL
  以上的账户平安只是以一般的Socket举行数据传输的,如许十分不平安。因而,MySQL在4.1版今后供应了对SSL(SecureScoketsLayer)的撑持。MySQL利用的是收费的OpenSSL库。
  因为MySQL的linux版本一样平常都是随Linux自己一同公布,因而,它们默许时都不利用SSL举行传输数据。假如要翻开SSL功效,必要对hava_openssl变量举行设置:
  MySQL的Windows版本已将OpenSSL到场了。也面的命令是检察你的MySQL是不是翻开了SSL功效。

SHOWVARIABLESLIKEhave_openssl;
+---------------+-------+
|Variable_name|Value|
+---------------+-------+
|have_openssl|NO|
+---------------+-------+
1rowinset(0.00sec)
  假如前往的是NO,那末申明你必要将OpenSSL编译进本人的MySQL。
  在偶然你大概必要将用户名和暗码举行加密传输。在这时候可使用上面GRANT命令:

GRANTALLPRIVILEGESONssl_only_db.*toabc@%IDENTIFIEDBY"password!"REQUIRESSL;
  还能够经由过程REQUIREx509选项举行SSL传输:

GRANTALLPRIVILEGESONssl_only_db.*toabc@%IDENTIFIEDBY"password!"REQUIREx509;
  你还可使用REQUIRESUBJECT来指定一个特定的客户端证书来会见数据库。

GRANTALLPRIVILEGESONssl_only_db.*toabc@%
IDENTIFIEDBY"password!"
REQUIRESUBJECT"/C=US/ST=NewYork/L=Albany/O=WidgetsInc./CN=client-ray.
example.com/emailAddress=raymond@example.com";
  大概你其实不体贴利用的是甚么客户允许,而仅仅体贴的是你的证书。那末你可使用REQUIREISSUER来完成:

GRANTALLPRIVILEGESONssl_only_db.*toabc@%IDENTIFIEDBY"password!"
REQUIREISSUER"/C=US/ST=New+20York/L=Albany/O=WidgetsInc./CN=cacert.example.
com/emailAddress=admin@example.com";
  SSL还能够间接经由过程暗码举行加密。可使用REQUIRECIPHER设置暗码。

GRANTALLPRIVILEGESONssl_only_db.*toabc@%IDENTIFIEDBY"password!"
REQUIRECIPHER"EDH-RSA-DES-CBC3-SHA";
  下面利用了GRANT命令对用户权限举行设置。而这些信息都是保留在受权表中,这些表是平安体系的心脏。在这些表中保留了每个用户和客户机所具有的权限。假如准确地操纵这些表,将会对数据库的平安起到主动的感化,而假如利用失慎,将长短常伤害的。
  上面让我们来看看MySQL中的最要的5个受权表。
  user
  用户表保留了用户的权限和被加密的暗码。这个表卖力断定哪些用户和客户机能够毗连到服务器上。
  host
  这个表为每个客户机分派权限,它其实不思索用户的权限。MySQL在断定是不是吸收仍是回绝一个毗连时,起首思索的是user表。而利用GRANT或REVOKE命令其实不影响host表,我们能够经由过程手工体例修正这个表中的内容。
  db
  db表保留了数据库层的权限信息。
  tables_priv
  这个表存储了表的权限信息。
  columns_priv
  这个表保留了独自列的权限信息。经由过程这个表,能够将操纵某一列的权限授与一个用户。
  哈希加密
  假如数据库保留了敏感的数据,如银行卡暗码,客户信息等,你大概想将这些数据以加密的情势保留在数据库中。如许即便有人进进了你的数据库,并看到了这些数据,也很难取得个中的实在信息。
  在使用程序的大批信息中,大概你只想交很小的一部分举行加密,如用户的暗码等。这些暗码不该该以明文的情势保留,它们应当以加密的情势保留在数据库中。一样平常情形下,年夜多半体系,这个中包含MySQL自己都是利用哈希算法对敏感数据举行加密的。
  哈希加密是单向加密,也就是说,被加密的字符串是没法失掉原字符串的。这类办法利用很无限,一样平常只利用在暗码考证或别的必要考证的中央。在对照时并非将加密字符串举行解密,而是将输出的字符串也利用一样的办法举行加密,再和数据库中的加密字符串举行对照。如许即便晓得了算法并失掉了加密字符串,也没法复原最后的字符串。银行卡暗码就是接纳的这类体例举行加密。
  MySQL供应了4个函数用于哈希加密:PASSWORD,ENCRYPT,SHA1和md5。上面让我们试一试这4个函数,看看会失掉甚么了局。我们以加密字符串"pa55word"为例举行申明:
  让我们先来看看MD5函数

SELECTMD5(pa55word);
+----------------------------------+
|MD5(pa55word)|
+----------------------------------+
|a17a41337551d6542fd005e18b43afd4|
+----------------------------------+
1rowinset(0.13sec)
  上面是PASSWORD函数
SELECTPASSWORD(pa55word);
+----------------------+
|PASSWORD(pa55word)|
+----------------------+
|1d35c6556b8cab45|
+----------------------+
1rowinset(0.00sec)
上面是ENCRYPT函数
SELECTENCRYPT(pa55word);
+---------------------+
|ENCRYPT(pa55word)|
+---------------------+
|up2Ecb0Hdj25A|
+---------------------+
1rowinset(0.17sec)
  下面的每一个函数都前往了一个加密后的字符串。为了辨别加密字符串的巨细写,最幸亏利用ENCRYPT天生加密字符串时,将这个字段界说成CHARBINARY范例。
  下面枚举了3种加密的办法,但我以为利用MD5加密是最好的。这是由于如许做能够将明文暗码显现在处置列表中或是查询日记中,如许便于跟踪。以下面的INSERT语句利用拔出了一笔记录,个中的暗码利用了MD5举行加密:

INSERTINTOtable1(user,pw)VALUE(user1,MD5(password1))
  能够经由过程以下的语句举行暗码考证:
  
SELECT*FROMtable1WHEREuser=user1ANDpw=MD5(password1)
  哈希加密办法能够很好地对暗码举行加密,利用了这类办法加密,暗码将没法恢复成明文。
到2009年,甲骨文的数据库Oracle已经诞生了30周年,而MySQL却连它的一半时间都没有。微软的SQLServer仅仅比MySQL大两年,但是SQLServer的发布是建立在Sybase的基础上。
深爱那片海 该用户已被删除
9#
 楼主| 发表于 2015-3-24 16:46:14 | 只看该作者
学习SQL语言的话如果要学会去做网站就不是很难!但是要做数据库管理的话就有难度了!
金色的骷髅 该用户已被删除
8#
发表于 2015-3-17 17:10:51 | 只看该作者
大侠们有推荐的书籍和学习方法写下吧。
莫相离 该用户已被删除
7#
发表于 2015-3-11 00:44:46 | 只看该作者
现在是在考虑:如果写到服务器端,我一下搞他个10个存储过程导过去,那久之服务器不就成垃圾箱了吗?即便优化了我的中间层.
小魔女 该用户已被删除
6#
发表于 2015-3-1 21:39:50 | 只看该作者
你可以简单地认为适合的就是好,不适合就是不好。
海妖 该用户已被删除
5#
发表于 2015-2-11 04:10:32 | 只看该作者
现在是在考虑:如果写到服务器端,我一下搞他个10个存储过程导过去,那久之服务器不就成垃圾箱了吗?即便优化了我的中间层.
变相怪杰 该用户已被删除
地板
发表于 2015-2-5 03:41:16 | 只看该作者
外键的级联更能扩展可能大部分的同行在设计OLTP系统的时候都不愿意建立外键,都是通过程序来控制父子数据的完整性。
若天明 该用户已被删除
板凳
发表于 2015-1-27 06:02:13 | 只看该作者
大侠们有推荐的书籍和学习方法写下吧。
蒙在股里 该用户已被删除
沙发
发表于 2015-1-18 18:57:54 | 只看该作者
代替了原来VB式的错误判断。比Oracle高级不少。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2025-1-3 23:07

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表