使用mysql,安全问题不容忽视。以下是MySQL技巧的23个注意事项:
1.如果客户端和服务器之间的连接需要穿越不受信任的网络,那么就需要SSH隧道来加密连接的通信。
2.使用set password语句修改用户的密码。有三个步骤。第一个“MySQL-u root & quot;登录数据库系统,然后“mysql & gt更新MySQL . user set password = password(& rsquo;newpwd & rsquo)& quot,最后执行“刷新权限& quot去做吧。
3.需要防范的攻击有窃听、篡改、回放、拒绝服务等。,不涉及可用性和容错。所有的连接、查询等操作都是通过使用基于ACL的安全措施,即访问控制列表来完成的。也有一些对SSL连接的支持。
4.除了root之外,任何用户都不允许访问MySQL主数据库中的用户表;
用户表中存储的加密用户密码一旦泄露,他人就可以随意使用用户名/密码对应的数据库;
5.使用grant和revoke语句控制用户访问;
6.不使用明文密码,使用md5()和sha1()等单向哈希函数设置密码;
7.不要用字典里的单词做密码;
8.采用防火墙去除50%的外部危险,让数据库系统在防火墙后面工作,或者放在DMZ区域;
9.从互联网用nmap扫描端口3306,或者用telnet server_host 3306测试。不允许从不受信任的网络访问数据库服务器的TCP端口3306,需要在防火墙或路由器上设置。
10.为了防止非法参数被恶意传入,例如,where ID=234,但其他人输入where ID=234或1=1,导致全部显示出来,所以在web表单中使用了“。或者“& quot使用字符串在动态URL中添加%22的双引号、%23的井号和%27的单引号。将未经检查的值传递给mysql数据库是非常危险的;
1.向MySQL传递数据时检查大小;
12.当应用程序需要连接数据库时,应该使用通用的用户帐户,只对用户开放少数必要的权限;
13.使用特定的& lsquo在各种编程接口(C C++ php Perl java JDBC等。)转义符& rsquo功能;
在互联网上使用mysql数据库时,一定很少使用明文数据传输,而是使用SSL和SSH加密方式传输数据;
14.学会使用tcpdump和strings工具检查传输数据的安全性,如tcpdump-l-I eth0-w-src或dstport 3306 | strings。以普通用户身份启动mysql数据库服务;
15.选择参数& ndash而不是使用表的连接符号跳过符号链接;
16.确保只有启动数据库服务的用户才有权限读写mysql目录中的文件;
17.禁止向非管理用户支付进程或超级权限。mysqladmin processlist可以列出当前执行的查询文本;超级权限可以用来切断客户端连接,改变服务器运行参数状态,控制复制数据库的服务器;
18.文件权限不支付给除管理员以外的用户,以防止出现load data & lsquo/etc/密码& rsquo然后使用select来显示问题;
19.如果不相信DNS服务公司的服务,只能在主机名权限表中设置IP数字地址;
20.使用max_user_connections变量使mysqld服务进程限制指定帐户的连接数;
21.grant语句还支持资源控制选项;
22.启动mysqld服务进程的安全选项开关。& ndash如果local-infile=0或1为0,则客户端程序不能使用本地负载数据。授权的一个例子是在mysql.user上授予insert (user)以& lsquo用户名& rsquo@ ' host _ name & rsquo;如果& ndashSkip-grant-tables系统不会对任何用户的访问做任何访问控制,但是mysqladmin flush-privileges或mysqladmin reload可以用来打开访问控制;缺省情况下,show databases语句对所有用户开放,并且可以与& ndash一起使用跳过-显示-数据库来关闭它。
23,遇到错误1045 (28000)拒绝用户& lsquoroot & rsquo@ ' localhost & rsquo(使用密码:否)出现错误时,需要重置密码。具体方法是:使用& ndashskip-grant-tables参数启动mysqld,然后执行mysql -u root mysql,MySQL >:update user set password = password(& rsquo;新密码& rsquo)其中user = & rsquoroot & rsquo;mysql & gt刷新权限;,最后重启mysql。
关键词:MySQL,数据库
优侠库网站每天提供最新最热门的安卓手机软件、游戏下载、分享热门手游资讯攻略教程、手机软件教程步骤,专注安卓手机游戏软件下载。本文链接:http://www.123down.cn/gonglue/227143.html
