Уязвимы ли эти пользовательские настройки MySQL?
Я использую PHPMyAdmin для управления базами данных, и я новичок в SQL в целом. Могу ли я сохранить открытого анонимного пользователя на локальном хосте, чтобы такие вещи, как Drupal, могли получить доступ к MySQL? Кажется, что наличие корня без пароля на имени хоста моего сервера задерживается, но я не знаю, что я делаю с этим в целом. Имя пользователя начинается с b это тот, который я использую для входа в систему и таких вещей, как создание базы данных.
вам не нужны учетные записи, не защищенные паролем. мои предложения:
- оставить root-аккаунт с доступом с localhost, имея все права с защитой паролем
- удалить другие корневые учетные записи
- создать ограниченную учетную запись [возможно, просто выберите / вставьте / обновите / удалите] для своих веб-приложений.
- когда вы выполняете некоторые обновления веб-приложений [которые требуют изменения в структуре sql], временно предоставляйте пользователю права из предыдущей точки на изменение структуры, а после успешного обновления - отмените их.
Любое имеющееся у вас приложение, которое обращается к MySQL, должно предоставлять учетные данные для подключения и использовать учетную запись, у которой достаточно прав только для того, чтобы делать то, что ей нужно. Нет необходимости иметь учетную запись, которая просто должна иметь возможность писать в вашу базу данных Drupal, например, иметь доступ ко всем базам данных на сервере.
После того, как вы настроили эту настройку, вы можете избавиться от учетных записей, у которых нет пароля, или добавить пароль к ним, тем самым удалив эту дыру в безопасности.