以下的文章主要介紹的是MySQL數據庫的實際配置技巧,我們大家都知道用root的相關用戶啟動的遠程服務,其一直是個安全大忌,主要原因是如果相關的服務程序出現一些問題,遠程攻擊者極有可能獲得主機的完全控制權。
MySQL(和PHP搭配之最佳組合)從3.23.15版
本開始時作了小小的改動,默認安裝後服務要用MySQL(和PHP搭配之最佳組合)用戶來啟動,不允許root用戶啟動。如果非要用root用戶來啟動,必須加上--user=root
的參數(./safe_MySQL(和PHP搭配之最佳組合)d --user=root &)。因為MySQL(和PHP搭配之最佳組合)中有LOAD DATA INFILE和SELECT ... INTO OUTFILE的SQL語句,如果是root用戶啟動了
MySQL(和PHP搭配之最佳組合)服務器,那麼,MySQL數據庫用戶就擁有了root用戶的寫權限。不過MySQL(和PHP搭配之最佳組合)還是做了一些限制的,比如LOAD DATA INFILE只能讀全局可讀的文件
,SELECT ... INTO OUTFILE不能覆蓋已經存在的文件。
本地的日志文件也不能忽視,包括shell的日志和MySQL(和PHP搭配之最佳組合)自己的日志。有些用戶在本地登陸或備份MySQL數據庫的時候為了圖方便,有時會在命令行參
數裡直接帶了數據庫的密碼,如:
shell>/usr/local/MySQL(和PHP搭配之最佳組合)/bin/MySQL(和PHP搭配之最佳組合)dump -uroot -ptest test>test.sql
shell>/usr/local/MySQL(和PHP搭配之最佳組合)/bin/MySQL(和PHP搭配之最佳組合) -uroot -ptest
這些命令會被shell記錄在歷史文件裡,比如bash會寫入用戶目錄的.bash_history文件,如果這些文件不慎被讀,那麼數據庫的密碼就會洩漏
。用戶登陸數據庫後執行的SQL命令也會被MySQL(和PHP搭配之最佳組合)記錄在用戶目錄的.MySQL(和PHP搭配之最佳組合)_history文件裡。如果MySQL數據庫用戶用SQL語句修改了數據庫密碼,也會
因.MySQL(和PHP搭配之最佳組合)_history文件而洩漏。所以我們在shell登陸及備份的時候不要在-p後直接加密碼,而是在提示後再輸入MySQL數據庫密碼。
另外這兩個文件我們也應該不讓它記錄我們的操作,以防萬一。
shell>rm .bash_history .MySQL(和PHP搭配之最佳組合)_history
shell>ln -s /dev/null .bash_history
shell>ln -s /dev/null .MySQL(和PHP搭配之最佳組合)_history
上門這兩條命令把這兩個文件鏈接到/dev/null,那麼我們的操作就不會被記錄到這兩個文件裡了。
編程需要注意的一些問題
不管是用哪種程序語言寫連接MySQL(和PHP搭配之最佳組合)MySQL數據庫的程序,有一條准則是永遠不要相信用戶提交的數據!
對於數字字段,我們要使用查詢語句:SELECT * FROM table WHERE ID='234',不要使用SELECT * FROM table WHERE ID=234這樣的查詢語句
。MySQL(和PHP搭配之最佳組合)會自動把字串轉換為數字字符並且去除非數字字符。如果用戶提交的數據經過了MySQL(和PHP搭配之最佳組合)_escape_string處理,這樣我們就可以完全杜絕
各種編程語言該注意的問題:
1)所有Web程序:
a)嘗試在Web表單輸入單引號和雙引號來測試可能出現的錯誤,並找出原因所在。
b)修改URL參數帶的%22 ('"'), %23 ('#'), 和 %27 (''')。
c)對於數字字段的變量,我們的應用程序必須進行嚴格的檢查,否則是非常危險的。
d)檢查用戶提交的數據是否超過字段的長度。
e)不要給自己程序連接MySQL數據庫的用戶過多的訪問權限。
2)PHP:
a)檢查用戶提交的數據在查詢之前是否經過addslashes處理,在PHP 4.0.3以後提供了基於MySQL(和PHP搭配之最佳組合) C API的函數MySQL(和PHP搭配之最佳組合)_escape_string()。
3)MySQL(和PHP搭配之最佳組合) C API:
a)檢查查詢字串是否用了MySQL(和PHP搭配之最佳組合)_escape_string() API調用。
4)MySQL(和PHP搭配之最佳組合)++:
a)檢查查詢字串是否用了escape和quote處理。
5)Perl DBI:
a)檢查查詢字串是否用了quote()方法。
6)Java JDBC:
a)檢查查詢字串是否用了PreparedStatement對象。
一些小竅門
1)如果不慎忘記了MySQL(和PHP搭配之最佳組合)的root密碼,我們可以在啟動MySQL(和PHP搭配之最佳組合)服務器時加上參數--skip-grant-tables來跳過授權表的驗證 (./safe_MySQL(和PHP搭配之最佳組合)d
--skip-grant-tables &),這樣我們就可以直接登陸MySQL(和PHP搭配之最佳組合)服務器,然後再修改root用戶的口令,重啟MySQL(和PHP搭配之最佳組合)就可以用新口令登陸了。
2)啟動MySQL(和PHP搭配之最佳組合)服務器時加上--skip-show-database使一般數據庫用戶不能浏覽其它MySQL數據庫。
3)啟動MySQL(和PHP搭配之最佳組合)服務器時加上--chroot=path參數,讓MySQL(和PHP搭配之最佳組合)d守護進程運行在chroot環境中。這樣SQL語句LOAD DATA INFILE和SELECT ... INTO
OUTFILE就限定在chroot_path下讀寫文件了。這裡有一點要注意,MySQL(和PHP搭配之最佳組合)啟動後會建立一個MySQL(和PHP搭配之最佳組合).sock文件,默認是在/tmp目錄下。使用了
chroot後,MySQL(和PHP搭配之最佳組合)會在chroot_path/tmp去建立MySQL(和PHP搭配之最佳組合).sock文件,如果沒有chroot_path/tmp目錄或啟動MySQL(和PHP搭配之最佳組合)的用戶沒有這個目錄寫權限就不能
建立MySQL(和PHP搭配之最佳組合).sock文件,MySQL(和PHP搭配之最佳組合)會啟動失敗。比如我們加了--chroot=/usr/local/MySQL(和PHP搭配之最佳組合)/啟動參數,那麼最好建立一個啟動MySQL(和PHP搭配之最佳組合)的用戶能寫的
/usr/local/MySQL(和PHP搭配之最佳組合)/tmp目錄,當然我們也可以用--socket=path來指定MySQL(和PHP搭配之最佳組合).sock文件的路徑,但這個path一定要在chroot_path裡面。
4)啟動MySQL(和PHP搭配之最佳組合)服務器時加上--log-slow-queries[=file]參數,這樣MySQL(和PHP搭配之最佳組合)d會把SQL命令執行時間超過long_query_time的寫入file文件。如果沒
有指定=file,MySQL(和PHP搭配之最佳組合)d默認會寫到數據目錄下的hostname-slow.log。如果只指定了filename,沒有指定路徑,那麼MySQL(和PHP搭配之最佳組合)d也會把filename寫到
數據目錄下。我們通過這個日志文件可以找出執行時間超長的查詢語句,然後盡可能的優化它減輕MySQL(和PHP搭配之最佳組合)服務器的負擔。
5)如果我們只需本機使用MySQL(和PHP搭配之最佳組合)服務,那麼我們還可以加上--skip-networking啟動參數使MySQL(和PHP搭配之最佳組合)不監聽任何TCP/IP連接,增加安全性
以上的相關內容就是對MySQL數據庫配置技巧的介紹,望你能有所收獲。
