仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 885|回复: 8
打印 上一主题 下一主题

[学习教程] MYSQL教程之MySQL平安成绩(匿名用户)的一点心得

[复制链接]
只想知道 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 22:34:33 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
使用DBaaS能让收入损失从其他业务上得到弥补,如软件更新和硬件管理。也许决定走DBaaS之路的客户可能会跳过解决方案提供商,尽管这个决策看起来有点短视。mysql|平安|成绩|心得前两天在帮伴侣收拾他的主页空间时分,发明的一点关于MySQL大概人人城市疏忽的成绩:我们晓得,在安装完MySQL后,它会主动创立一个root用户和一个匿名用户,其初始暗码都是空,关于前者,良多参考材料上城市提示人人要注重实时设定一个暗码,而疏忽了后者,也许是由于后者默许设定为只能在本机利用的原因吧。

  但假如你的MySQL是要供应给Web服务器作数据库服务的,疏忽这个匿名用户的价值大概相称惨痛,由于在默许设置下,这个匿名用户在localhost上几近具有和root一样的权限,这时候候,假如你的客户具有上传剧本文件、剧本文件能够举行MySQL数据库操纵(好比同意操纵MySQL的php)的权限已大概将你的MySQL修改得改头换面了:

  我明天帮伴侣收拾他的主页空间的时分,试着写了一个很复杂的实行sql语句的php文件上传上往,个中毗连字中的user,password我都试着置空,host=localhost,了局发明我的sql语句能够实行,因而实行select*fromMySQL.user观察用户权限,发明这个用户在localhost权限十分高,连grant_priv都有,(观察的时分,会发明在root用户下有两行用户名、暗码为空的,但各项权限有y
的,就是这个匿名用户当地、远程权限设置了)

  以是我试着用这个php页面创立一个新用户,并grant给他较高的权限,了局一举乐成,如许我就能够用这个新用户经由过程我本机的MySQLclient毗连到这个网站的MySQLserver,并用这个新创建的用户的办理权限对这个网站的MySQLserver举行办理,看到本人能够举行如许容易取得深切的数据库操纵,我怎样还敢把伴侣的主页空间的敏感材料放进这个MySQLserver呢?

  改善倡议:

  1、在安装完成MySQL后,不但改动root用户的的暗码,也同时改动匿名用户的暗码,办法相似改动root的暗码的体例:

  MySQL>UPDATEusersetpassword=PASSWORD(yournewpassword)whereuser=;
  MySQL>FLUSHPRIVILEGES;

  2、如非需要,删除这个匿名用户,如许一切人要利用MySQL都必需供应用户名,即使往后出了成绩,也简单查找成绩的泉源。

  3、除root用户外,其他用户包含匿名用户(假如没有删除这个用户)不该该具有grant权限,避免办理权限不受把持的分散进来。

  4、付与用户updatedeletealertcreatedrop权限的时分,应当限制到特定的数据库,特别要制止一般客户具有对MySQL数据库做操纵的权限,不然你的体系设置极可能被交换失落。

  5、反省MySQL.user表,作废不用要用户的shutdown_priv,reload_priv,process_priv和File_priv权限,这些权限大概泄露更多的服务器信息包含非MySQL的别的信息进来。

  6、假如不盘算让你的用户利用MySQL数据库,在供应诸如php如许的剧本言语的时分,从头设置或编译你的php,作废它们对MySQL的默许撑持。在我们工作的过程中,经常能听到很多不使用MySQL的理由,虽然其中有一些是对MySQL的误解,不过同样也有一些是合情合理的。
再见西城 该用户已被删除
沙发
发表于 2015-1-19 17:01:38 | 只看该作者
可能有的朋友会抱怨集成的orderby,其实如果使用ranking函数,Orderby是少不了的。如果担心Orderby会影响效率,可以为orderby的字段建立聚集索引,查询计划会忽略orderby操作(因为本来就是排序的嘛)。
谁可相欹 该用户已被删除
板凳
发表于 2015-1-25 22:19:06 | 只看该作者
大侠们有推荐的书籍和学习方法写下吧。
冷月葬花魂 该用户已被删除
地板
发表于 2015-2-4 08:36:19 | 只看该作者
我们学到了什么?思考问题的时候从表的角度来思考问
柔情似水 该用户已被删除
5#
发表于 2015-2-9 20:16:16 | 只看该作者
然后最好有实践机会,能够把实践到的和实践结合起来,其实理论思考是个非常困扰和痛苦的事情
小女巫 该用户已被删除
6#
发表于 2015-2-27 20:54:31 | 只看该作者
如果处理少量数据,比如几百条记录的数据,我不知道这两种情况哪个效率更高,如果处理大量数据呢?比如有表中有20万条记录.
莫相离 该用户已被删除
7#
发表于 2015-3-9 13:45:28 | 只看该作者
语句级快照和事务级快照终于为SQLServer的并发性能带来了突破。个人感觉语句级快照大家应该应用。事务级快照,如果是高并发系统还要慎用。如果一个用户总是被提示修改不成功要求重试时,会杀人的!
变相怪杰 该用户已被删除
8#
发表于 2015-3-16 22:34:04 | 只看该作者
备份方面可能还是一个老大难的问题。不能单独备份几个表总是感觉不爽。灵活备份的问题不知道什么时候才能解决。
深爱那片海 该用户已被删除
9#
发表于 2015-3-23 06:14:06 | 只看该作者
相信各位对数据库和怎么样学习数据库都有一些经验和看法,也会有人走了一些弯路总结出自己的经验来,希望大家能把各自的看法和经验拿出来分享,给别人一份帮助,给自己一份快乐
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 02:48

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表