【发布时间】:2011-04-09 09:09:14
【问题描述】:
我使用的 VPS 曾经有 phpMyAdmin 预安装选项,但删除它说它会带来安全风险。是吗?
如果是这样,您是否推荐在生产环境中浏览数据库的替代方法(除了在控制台中运行 SQL 命令)?
【问题讨论】:
-
我建议在控制台中运行 SQL 命令。这比单击数千个按钮更可靠。
标签: mysql database phpmyadmin
【发布时间】:2011-04-09 09:09:14
【问题描述】:
这取决于。如果您只能通过 SSL 获得对 PhpMyAdmin 的所有访问权限,并在网站上实施强密码安全性,那么它可能是安全的。
否则,它会将您的整个数据库服务器以清晰的视野向世界开放。
【讨论】:
1) 安装经典的 PHPMyAdmin
2) 将 ssl 添加到您的 phpmyadmin
3)添加.htacess并用密码保护它
【讨论】:
-
您也可以添加 IP 过滤以访问您域的特定目录。
您添加到系统中的任何额外软件都会增加复杂性。复杂性是安全的敌人。
PHP webapps 因编码草率而臭名昭著,当然 phpMyAdmin 过去曾有过more than its share of security holes。您当然可以通过例如减轻损害。使用客户端证书放置 HTTPS,但这并不能防止跨站点请求伪造攻击。
对于生产机器,我真的更喜欢坚持使用控制台。
【讨论】:
更多第三方软件 - 您可以获得更多问题。我的建议是在 vps 上使用 mysql 控制台,并以 root 权限拒绝外部连接到 mysql
【讨论】:
我建议在本地机器上设置 phpMyAdmin。然后为您的生产机器设置一个 ssh 隧道,并将 mysql 的端口转发到您的本地机器。配置您的本地 phpMyAdmin 以连接到该转发端口。
也就是说,如果你真的想使用 phpMyAdmin。
【讨论】:
-
在这种情况下,您也可以使用 MySQL Workbench。甚至更好。
过去肯定存在安全整体。未来可能会找到新的。向公共网络空间开放这种工具总是有风险的。
我建议安装数据库管理软件,并通过 SSH 隧道连接到您的生产数据库。如果您使用的是 Mac,我会免费安装 Sequel Pro。在其他平台上可以使用 Navicat(和其他类似软件),但确实要花钱。
【讨论】: