本文从网络角度探讨提高MySQL数据库安全,建议创建特定网络连接用户并限制权限,强调数据清理和验证的重要性,提醒注意SSL传输安全,并提供禁用风险组件如LOAD DATA LOCAL INFILE的建议,以增强数据库安全性。
从网络角度谈谈如何提高MySQL数据库的安全性
当连接MySQL数据库到网络的时候,一些特殊的安全问题就出现了。
建立一个专门用于网络连接的用户并不是一个坏主意。这样可以授予他们必要的、最少的权限,从而不给用户授予以下一些权限,例如DROP、ALTER或CREATE权限。我们可能只在类型表中授予SELECT权限,而只在订单表中授予INSERT权限。此外,这还是如何应用最少权限原则的例证。
提示:在之前的内容中我们说了PHP的addslashes()函数和stripslashes()函数以去掉任何可能产生问题的字符。记住这样做和在将任何数据发送到MySQL数据库之前要执行一个常规的数据清理都是非常重要的。你可能记得,我们曾经使用了doubleval()函数来检查数字类型的数据是否真正是数字类型的数据。我们经常容易犯的一个错误就是会忘记它——人们往往记得使用addslashes()但是忘记检查数字类型数据。
应该经常检查来自用户的所有数据。即使HTML表单中由选项框和按钮组成,一些人还是可能通过企图修改URL以进入脚本。此外,还应该检查用户数据的大小。
如果用户输入的密码或机密数据需要保存在数据库中,请注意,如果不是SSL(Secure Sockets Layer,加密套接字层),这些数据将以纯文本的方式从浏览器传递到服务器。关于SSL的用法,在以后将会说到。
删除风险组件
MySQL数据库的默认配置有一些不必要的组件,你可以考虑以下建议:
1. 禁用LOAD DATA LOCAL INFILE指令
这个命令允许用户读取本地文件甚至访问其他操作系统上的文件,这可能帮助攻击者收集重要的信息并利用应用程序的漏洞侵入你的数据库。你需要做的是把set-variable=local-infile=0插入到MySQL数据库的my.cnf文件中,来禁用这个指令。
2. 删除测试数据库
有一个默认的“测试”数据库用于测试目的。由于这个数据库有安全风险,匿名用户也可以访问,你应该使用mysql> DROP database test;指令尽快把它清除掉。
3. 删除历史文件
MySQL服务器有一个历史文件,它可以帮助你在安装出错的时候找到问题所在。历史文件包含敏感信息,比如说密码,如果这些信息被攻击者获得,那么将会给你的数据库带来巨大的安全隐患。在安装成功后,历史文件并没有什么用,因此你可以使用cat /dev/null > ~/.mysql_history指令来删除文件当中的内容。
【相关推荐】
提高MySQL数据库的安全性(一)
提高MySQL数据库的安全性(二)
提高MySQL数据库的安全性(三)
565
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
