我最近在桌面上安裝了XAMPP堆棧,並通過本地網絡上的筆記本電腦進行連接。令我驚訝的是,我能夠訪問phpmyadmin並刪除更新所有mysql表。雖然我知道我不應該使用xampp進行生產(而我不是),但我仍然想要了解如何管理這些明顯的安全缺陷。我知道我可以通過.htacces阻止對目錄的訪問(http://forum.directadmin.com/showthread.php?t=29089),但我希望更全面一些。你如何限制從本地主機以外的任何地方運行mysql查詢?沒有.htaccess的方法嗎?我認爲這部分是根用戶的目的。從phpmyadmin和mysql中阻止除localhost以外的所有用戶
MySQL定義了具有域的用戶。如果您查看information_schema數據庫中的user_privileges表,您將看到它們都具有域。如果您的所有用戶都嚴格定義爲localhost,則不會進行遠程訪問。
此外,您可以編輯my.cnf以關閉對數據庫的tcp訪問,強制所有連接都通過套接字。在[mysqld]下,包括行skip-networking。你將不得不配置所有的應用程序來使用套接字連接,但我更喜歡套接字。
如果phpMyAdmin與數據庫安裝在同一臺計算機上,這將無法保護您使用phpMyAdmin的用戶的數據。要做的事情就是擺脫那個應用程序。然而,這通常不實用,因爲它是一個有用的工具,所以您需要配置phpMyAdmin以要求用戶進行身份驗證。這意味着不要將密碼放在配置文件中。您需要考慮重新認證之前的會話時間,以及類似的事情。
phpMyAdmin每當我嘗試配置它時,都會帶來比一千個太陽炎熱的天氣,但它絕對可以設置,因此每次通過phpMyAdmin連接到數據庫時都需要密碼。您可以進一步限制phpMyAdmin濫用者可以做的事情,確保它僅以具有有限權限的用戶身份進行連接(例如,只能修改當前正在處理的數據庫)。