MYSQL教程之MySQL平安成绩(匿名用户)的一点心得

使用DBaaS能让收入损失从其他业务上得到弥补，如软件更新和硬件管理。也许决定走DBaaS之路的客户可能会跳过解决方案提供商，尽管这个决策看起来有点短视。mysql|平安|成绩|心得前两天在帮伴侣收拾他的主页空间时分，发明的一点关于MySQL大概人人城市疏忽的成绩：我们晓得，在安装完MySQL后，它会主动创立一个root用户和一个匿名用户，其初始暗码都是空，关于前者，良多参考材料上城市提示人人要注重实时设定一个暗码，而疏忽了后者，也许是由于后者默许设定为只能在本机利用的原因吧。

　　但假如你的MySQL是要供应给Web服务器作数据库服务的，疏忽这个匿名用户的价值大概相称惨痛，由于在默许设置下，这个匿名用户在localhost上几近具有和root一样的权限，这时候候，假如你的客户具有上传剧本文件、剧本文件能够举行MySQL数据库操纵（好比同意操纵MySQL的php)的权限已大概将你的MySQL修改得改头换面了:

　　我明天帮伴侣收拾他的主页空间的时分，试着写了一个很复杂的实行sql语句的php文件上传上往，个中毗连字中的user,password我都试着置空，host=localhost，了局发明我的sql语句能够实行,因而实行select*fromMySQL.user观察用户权限，发明这个用户在localhost权限十分高，连grant_priv都有，（观察的时分，会发明在root用户下有两行用户名、暗码为空的，但各项权限有y
的，就是这个匿名用户当地、远程权限设置了）

　　以是我试着用这个php页面创立一个新用户，并grant给他较高的权限，了局一举乐成，如许我就能够用这个新用户经由过程我本机的MySQLclient毗连到这个网站的MySQLserver，并用这个新创建的用户的办理权限对这个网站的MySQLserver举行办理，看到本人能够举行如许容易取得深切的数据库操纵，我怎样还敢把伴侣的主页空间的敏感材料放进这个MySQLserver呢？

　　改善倡议：

　　1、在安装完成MySQL后，不但改动root用户的的暗码，也同时改动匿名用户的暗码，办法相似改动root的暗码的体例：

　　MySQL>UPDATEusersetpassword=PASSWORD(yournewpassword)whereuser=;
　　MySQL>FLUSHPRIVILEGES;

　　2、如非需要，删除这个匿名用户，如许一切人要利用MySQL都必需供应用户名，即使往后出了成绩，也简单查找成绩的泉源。

　　3、除root用户外，其他用户包含匿名用户（假如没有删除这个用户）不该该具有grant权限，避免办理权限不受把持的分散进来。

　　4、付与用户updatedeletealertcreatedrop权限的时分，应当限制到特定的数据库，特别要制止一般客户具有对MySQL数据库做操纵的权限，不然你的体系设置极可能被交换失落。

　　5、反省MySQL.user表，作废不用要用户的shutdown_priv,reload_priv,process_priv和File_priv权限，这些权限大概泄露更多的服务器信息包含非MySQL的别的信息进来。

　　6、假如不盘算让你的用户利用MySQL数据库，在供应诸如php如许的剧本言语的时分，从头设置或编译你的php,作废它们对MySQL的默许撑持。在我们工作的过程中，经常能听到很多不使用MySQL的理由，虽然其中有一些是对MySQL的误解，不过同样也有一些是合情合理的。

可能有的朋友会抱怨集成的orderby，其实如果使用ranking函数,Orderby是少不了的。如果担心Orderby会影响效率，可以为orderby的字段建立聚集索引，查询计划会忽略orderby操作（因为本来就是排序的嘛）。

大侠们有推荐的书籍和学习方法写下吧。

我们学到了什么？思考问题的时候从表的角度来思考问

然后最好有实践机会，能够把实践到的和实践结合起来，其实理论思考是个非常困扰和痛苦的事情

如果处理少量数据,比如几百条记录的数据,我不知道这两种情况哪个效率更高,如果处理大量数据呢?比如有表中有20万条记录.

语句级快照和事务级快照终于为SQLServer的并发性能带来了突破。个人感觉语句级快照大家应该应用。事务级快照，如果是高并发系统还要慎用。如果一个用户总是被提示修改不成功要求重试时，会杀人的！

备份方面可能还是一个老大难的问题。不能单独备份几个表总是感觉不爽。灵活备份的问题不知道什么时候才能解决。

相信各位对数据库和怎么样学习数据库都有一些经验和看法，也会有人走了一些弯路总结出自己的经验来，希望大家能把各自的看法和经验拿出来分享，给别人一份帮助，给自己一份快乐