MySQL数据库配置本领[MySQL防范]

用root用户启动远程服务一向是安全大忌,因为假如服务程序呈现问题,远程攻击者极有大概得到主机的完好掌握权.MySQL从3.23.15版 L\PyCu  
本开始时作了小小的窜改,默许安装后服务要用mysql用户来启动,不答应root用户启动.假如非要用root用户来启动,必须加上--user=root R( XqQ=:J  
QW& mIv  
的参数(./safe_mysqld --user=root &).因为MySQL中有LOAD DATA INFILE和SELECT ... INTO OUTFILE的SQL语句,假如是root用户启动了 P=SXPj@s  
Ef+C}:%'Do  
MySQL服务器,那么,数据库用户就拥有了root用户的写权限.不过MySQL还是做了一些限制的,比方LOAD DATA INFILE只能读全局可读的文件 5-:{o3j  
rk],[X/9)  
,SELECT ... INTO OUTFILE不能覆盖已经存在的文件. f-uWWkG6I  
2='E*e'6  
本地的日记文件也不能轻忽,包含shell的日记和MySQL自己的日记.有些用户在本地登陆或备份数据库的时刻为了图便利,有时会在号令行参  !ua7['  
k* P]TkFv  
数里直接带了数据库的密码,如: |yI9>&NQ  
5Jj5!  
shell>/usr/local/mysql/bin/mysqldump -uroot -ptest test>test.sql K]KW53w;"  
shell>/usr/local/mysql/bin/mysql -uroot -ptest 6,kZY}RL3  
>3.+9a  
这些号令会被shell记录在历史文件里,比方bash会写入用户目录的.bash_history文件,假如这些文件不慎被读,那么数据库的密码就会泄露 *ffk[WU  
98gsNi0ta  
.用户登陆数据库后履行的SQL号令也会被MySQL记录在用户目录的.mysql_history文件里.假如数据库用户用SQL语句改正了数据库密码,也会 Llz,At_C  
qQvs~tBvX  
因.mysql_history文件而泄露.所以我们在shell登陆及备份的时刻不要在-p后直接加密码,而是在提醒后再输入数据库密码. VGJwF Us  
别的这两个文件我们也应当不让它记录我们的操作,以防万一. C|l\ '  
9E%jjITvt`  
shell>rm .bash_history .mysql_history %C"Oo  
shell>ln -s /dev/null .bash_history c2KWTaE^  
shell>ln -s /dev/null .mysql_history kj@R?Jym  
4`Kl+<w)  
上门这两条号令把这两个文件链接到/dev/null,那么我们的操作就不会被记录到这两个文件里了. 74cRAq   
编程需求注意的一些问题 s9P#jm&  
JN
ZA6M  
不管是用哪类程序语言写衔接MySQL数据库的程序,有一条原则是永久不要相信誉户提交的数据! 9Q/NA/  
关于数字字段,我们要利用查询语句:SELECT * FROM table WHERE ID='234',不要利用SELECT * FROM table WHERE ID=234这样的查询语句 QE8QV?JX  
c`F#,iu7  
.MySQL会自动把字串转换为数字字符并且去除非数字字符.假如用户提交的数据经过了mysql_escape_string处理,这样我们便可以完好根绝 aJD*T4,  
<f&tFV  
了sql inject攻击,关于sql inject攻击请参考下面链接的文章: w]e g&~xJ  
http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf ^IDJC `3  
http://www.ngssoftware.com/papers/advanced_sql_injection.pdf AbA(+zP  
各种编程语言该注意的问题: }8W1x6  
-3r ny/  
1)全部Web程序: ^x}zI]0-  
a)尝试在Web表单输入单引号和双引号来测试大概呈现的错误,并找出缘由所在. XS(3
3N @  
b)改正URL参数带的%22 ('"'), %23 ('#'), 和 %27 ('''). k@" L^+"m  
c)关于数字字段的变量,我们的利用程序必须举行严峻的查抄,不然是非常危险的. ]Y`VMEZ *  
d)查抄用户提交的数据能否超越字段的长度. D8Orz#]ppe  
e)不要给自己程序衔接数据库的用户过量的拜候权限. xv_FrM4  
v`Kg]pm  
2)PHP: 2xd1c]t*:  
a)查抄用户提交的数据在查询之前能否经过addslashes处理,在PHP 4.0.3今后供应了基于MySQL C API的函数mysql_escape_string(). C(3 Wn:mg  
c gqKyh>?  
3)MySQL C API: j?Cd] `5  
a)查抄查询字串能否用了mysql_escape_string() API调用. goROM Di  
NPNQq.>R(  
4)MySQL++: u zL,n?<  
a)查抄查询字串能否用了escape和quote处理. T-Wy26  
 }Srn  
5)Perl DBI: 1w4XojwB  
a)查抄查询字串能否用了quote()办法. &fEbR{@  
wh?X~TkU  
6)Java JDBC: tHk_okg5n  
a)查抄查询字串能否用了PreparedStatement对象. u9LAdr  
rC6|z)em2;  
4、一些小诀窍 \ ,&\GbwU  
S 8\9?zr%  
1)假如不慎忘掉了MySQL的root密码,我们可以在启动MySQL服务器时加上参数--skip-grant-tables来跳过受权表的考证 (./safe_mysqld VR^-]o]_'^  
oKCK-e+n  
--skip-grant-tables &),这样我们便可以直接登陆MySQL服务器,然后再改正root用户的口令,重启MySQL便可以用新口令登陆了. Gq:<w633g  
2eLvQ(O/k  
2)启动MySQL服务器时加上--skip-show-database使普通数据库用户不能浏览别的数据库.  hjKL71o\  
+=6hG (  
3)启动MySQL服务器时加上--chroot=path参数,让mysqld保护进程运行在chroot环境中.这样SQL语句LOAD DATA INFILE和SELECT ... INTO tVmy ytQH  
a
5
>s#  
OUTFILE就限定在chroot_path下读写文件了.这里有一点要注意,MySQL启动后会成立一个mysql.sock文件,默许是在/tmp目录下.利用了 OV:[W#B8pv  
A{
w7  
chroot后,MySQL会在chroot_path/tmp去成立mysql.sock文件,假如没有chroot_path/tmp目录或启动MySQL的用户没有这个目录写权限就不能 iR3l]UpT  
~<T'=l&  
成立mysql.sock文件,MySQL会启动失利.比方我们加了--chroot=/usr/local/mysql/启动参数,那么最好成立一个启动MySQL的用户能写的 XjQ.xZ}+  
/usr/local/mysql/tmp目录,当然我们也可以用--socket=path来指定mysql.sock文件的途径,但这个path一定要在chroot_path里面. G_ |*eE_  
rj\?5s8T  
4)启动MySQL服务器时加上--log-slow-queries[=file]参数,这样mysqld会把SQL号令履行时间超越long_query_time的写入file文件.假如没
Z*$  
<63du)O[M  
有指定=file,mysqld默许会写到数据目录下的hostname-slow.log.假如只指定了filename,没有指定途径,那么mysqld也会把filename写到 feZO"9  
f,nixu>J  
数据目录下.我们通过这个日记文件可以找出履行时间超长的查询语句,然后尽大概的优化它减轻MySQL服务器的负担. H7\qTG6?B  
MC.Z2 |
F  
5)假如我们只需本机利用MySQL服务,那么我们还可以加上--skip-networking启动参数使MySQL不监听凭何TCP/IP衔接,增添安全性 　　以上是“MySQL数据库配置本领[MySQL防范]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：

Windows 搭配 IIS7 PHP MySQL 环境

mysql Out of memory (Needed 16777224 bytes)的错误办理

mysql提醒[Warning] Invalid (old?) table or database name问题的办理办法

mysql启用skip-name-resolve情势时呈现Warning的处理办法

mysql启用skip-name-resolve情势时呈现Warning的处理办法

MySQL Order By语法介绍

<b>MySQL ORDER BY 的实现解析</b>

mysql数据库插入速度和读取速度的调整记录

MySQL Order By索引优化办法

MySQL Order By用法分享

mysql #1062 –Duplicate entry ''1'' for key ''PRIMARY''

MySQL Order By Rand()效率解析