以下的文章主要介紹的是MySQL數(shù)據(jù)庫的實際配置技巧，我們大家都知道用root的相關(guān)用戶啟動的遠(yuǎn)程服務(wù)，其一直是個安全大忌，主要原因是如果相關(guān)的服務(wù)程序出現(xiàn)一些問題，遠(yuǎn)程攻擊者極有可能獲得主機的完全控制權(quán)。 MySQL(和PHP搭配之最佳組合)從3.23.15版 本

以下的文章主要介紹的是MySQL數(shù)據(jù)庫的實際配置技巧，我們大家都知道用root的相關(guān)用戶啟動的遠(yuǎn)程服務(wù)，其一直是個安全大忌，主要原因是如果相關(guān)的服務(wù)程序出現(xiàn)一些問題，遠(yuǎn)程攻擊者極有可能獲得主機的完全控制權(quán)。

MySQL(和PHP搭配之最佳組合)從3.23.15版

本開始時作了小小的改動，默認(rèn)安裝后服務(wù)要用MySQL(和PHP搭配之最佳組合)用戶來啟動，不允許root用戶啟動。如果非要用root用戶來啟動，必須加上--user=root

的參數(shù)(./safe_MySQL(和PHP搭配之最佳組合)d --user=root &)。因為MySQL(和PHP搭配之最佳組合)中有LOAD DATA INFILE和SELECT ... INTO OUTFILE的SQL語句，如果是root用戶啟動了

MySQL(和PHP搭配之最佳組合)服務(wù)器，那么，MySQL數(shù)據(jù)庫用戶就擁有了root用戶的寫權(quán)限。不過MySQL(和PHP搭配之最佳組合)還是做了一些限制的，比如LOAD DATA INFILE只能讀全局可讀的文件

，SELECT ... INTO OUTFILE不能覆蓋已經(jīng)存在的文件。

本地的日志文件也不能忽視，包括shell的日志和MySQL(和PHP搭配之最佳組合)自己的日志。有些用戶在本地登陸或備份MySQL數(shù)據(jù)庫的時候為了圖方便，有時會在命令行參

數(shù)里直接帶了數(shù)據(jù)庫的密碼，如：

shell>/usr/local/MySQL(和PHP搭配之最佳組合)/bin/MySQL(和PHP搭配之最佳組合)dump -uroot -ptest test>test.sql

shell>/usr/local/MySQL(和PHP搭配之最佳組合)/bin/MySQL(和PHP搭配之最佳組合) -uroot -ptest

這些命令會被shell記錄在歷史文件里，比如bash會寫入用戶目錄的.bash_history文件，如果這些文件不慎被讀，那么數(shù)據(jù)庫的密碼就會泄漏

。用戶登陸數(shù)據(jù)庫后執(zhí)行的SQL命令也會被MySQL(和PHP搭配之最佳組合)記錄在用戶目錄的.MySQL(和PHP搭配之最佳組合)_history文件里。如果MySQL數(shù)據(jù)庫用戶用SQL語句修改了數(shù)據(jù)庫密碼，也會

因.MySQL(和PHP搭配之最佳組合)_history文件而泄漏。所以我們在shell登陸及備份的時候不要在-p后直接加密碼，而是在提示后再輸入MySQL數(shù)據(jù)庫密碼。

另外這兩個文件我們也應(yīng)該不讓它記錄我們的操作，以防萬一。

shell>rm .bash_history .MySQL(和PHP搭配之最佳組合)_history

shell>ln -s /dev/null .bash_history

shell>ln -s /dev/null .MySQL(和PHP搭配之最佳組合)_history

上門這兩條命令把這兩個文件鏈接到/dev/null，那么我們的操作就不會被記錄到這兩個文件里了。

編程需要注意的一些問題

不管是用哪種程序語言寫連接MySQL(和PHP搭配之最佳組合)MySQL數(shù)據(jù)庫的程序，有一條準(zhǔn)則是永遠(yuǎn)不要相信用戶提交的數(shù)據(jù)！

對于數(shù)字字段，我們要使用查詢語句：SELECT * FROM table WHERE ID='234'，不要使用SELECT * FROM table WHERE ID=234這樣的查詢語句

。MySQL(和PHP搭配之最佳組合)會自動把字串轉(zhuǎn)換為數(shù)字字符并且去除非數(shù)字字符。如果用戶提交的數(shù)據(jù)經(jīng)過了MySQL(和PHP搭配之最佳組合)_escape_string處理，這樣我們就可以完全杜絕

各種編程語言該注意的問題：

1)所有Web程序：

a)嘗試在Web表單輸入單引號和雙引號來測試可能出現(xiàn)的錯誤，并找出原因所在。

b)修改URL參數(shù)帶的%22 ('"'), %23 ('#'), 和 %27 (''')。

c)對于數(shù)字字段的變量，我們的應(yīng)用程序必須進(jìn)行嚴(yán)格的檢查，否則是非常危險的。

d)檢查用戶提交的數(shù)據(jù)是否超過字段的長度。

e)不要給自己程序連接MySQL數(shù)據(jù)庫的用戶過多的訪問權(quán)限。

2)PHP：

a)檢查用戶提交的數(shù)據(jù)在查詢之前是否經(jīng)過addslashes處理，在PHP 4.0.3以后提供了基于MySQL(和PHP搭配之最佳組合) C API的函數(shù)MySQL(和PHP搭配之最佳組合)_escape_string()。

3)MySQL(和PHP搭配之最佳組合) C API：

a)檢查查詢字串是否用了MySQL(和PHP搭配之最佳組合)_escape_string() API調(diào)用。

4)MySQL(和PHP搭配之最佳組合)++：

a)檢查查詢字串是否用了escape和quote處理。

5)Perl DBI：

a)檢查查詢字串是否用了quote()方法。

6)Java JDBC：

a)檢查查詢字串是否用了PreparedStatement對象。

一些小竅門

1)如果不慎忘記了MySQL(和PHP搭配之最佳組合)的root密碼，我們可以在啟動MySQL(和PHP搭配之最佳組合)服務(wù)器時加上參數(shù)--skip-grant-tables來跳過授權(quán)表的驗證 (./safe_MySQL(和PHP搭配之最佳組合)d

--skip-grant-tables &)，這樣我們就可以直接登陸MySQL(和PHP搭配之最佳組合)服務(wù)器，然后再修改root用戶的口令，重啟MySQL(和PHP搭配之最佳組合)就可以用新口令登陸了。

2)啟動MySQL(和PHP搭配之最佳組合)服務(wù)器時加上--skip-show-database使一般數(shù)據(jù)庫用戶不能瀏覽其它MySQL數(shù)據(jù)庫。

3)啟動MySQL(和PHP搭配之最佳組合)服務(wù)器時加上--chroot=path參數(shù)，讓MySQL(和PHP搭配之最佳組合)d守護(hù)進(jìn)程運行在chroot環(huán)境中。這樣SQL語句LOAD DATA INFILE和SELECT ... INTO

OUTFILE就限定在chroot_path下讀寫文件了。這里有一點要注意，MySQL(和PHP搭配之最佳組合)啟動后會建立一個MySQL(和PHP搭配之最佳組合).sock文件，默認(rèn)是在/tmp目錄下。使用了

chroot后，MySQL(和PHP搭配之最佳組合)會在chroot_path/tmp去建立MySQL(和PHP搭配之最佳組合).sock文件，如果沒有chroot_path/tmp目錄或啟動MySQL(和PHP搭配之最佳組合)的用戶沒有這個目錄寫權(quán)限就不能

建立MySQL(和PHP搭配之最佳組合).sock文件，MySQL(和PHP搭配之最佳組合)會啟動失敗。比如我們加了--chroot=/usr/local/MySQL(和PHP搭配之最佳組合)/啟動參數(shù)，那么最好建立一個啟動MySQL(和PHP搭配之最佳組合)的用戶能寫的

/usr/local/MySQL(和PHP搭配之最佳組合)/tmp目錄，當(dāng)然我們也可以用--socket=path來指定MySQL(和PHP搭配之最佳組合).sock文件的路徑，但這個path一定要在chroot_path里面。

4)啟動MySQL(和PHP搭配之最佳組合)服務(wù)器時加上--log-slow-queries[=file]參數(shù)，這樣MySQL(和PHP搭配之最佳組合)d會把SQL命令執(zhí)行時間超過long_query_time的寫入file文件。如果沒

有指定=file，MySQL(和PHP搭配之最佳組合)d默認(rèn)會寫到數(shù)據(jù)目錄下的hostname-slow.log。如果只指定了filename，沒有指定路徑，那么MySQL(和PHP搭配之最佳組合)d也會把filename寫到

數(shù)據(jù)目錄下。我們通過這個日志文件可以找出執(zhí)行時間超長的查詢語句，然后盡可能的優(yōu)化它減輕MySQL(和PHP搭配之最佳組合)服務(wù)器的負(fù)擔(dān)。

5)如果我們只需本機使用MySQL(和PHP搭配之最佳組合)服務(wù)，那么我們還可以加上--skip-networking啟動參數(shù)使MySQL(和PHP搭配之最佳組合)不監(jiān)聽任何TCP/IP連接，增加安全性

以上的相關(guān)內(nèi)容就是對MySQL數(shù)據(jù)庫配置技巧的介紹，望你能有所收獲。

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com