Mysql安全问题(匿名用户)的一点心得(转)

千家信息网最后更新 2025年01月22日Mysql安全问题(匿名用户)的一点心得(转)Mysql安全问题(匿名用户)的一点心得(转)[@more@]　　前两天在帮朋友整理他的主页空间时候，发现的一点关于MySQL可能大家都会忽略的问题：我们知道，在安装完MySQL后，它会自动创建一个root用户和一个匿名用户，其初始密码都是空，对于前者，很多参考资料上都会提醒大家要注意及时设定一个密码，而忽略了后者，大概是因为后者默认设定为只能在本机使用的缘故吧。

　　但如果你的MySQL是要提供给Web服务器作数据库服务的，忽略这个匿名用户的代价可能相当惨重，因为在默认设置下，这个匿名用户在localhost上几乎拥有和root一样的权限，这时候，如果你的客户拥有上传脚本文件、脚本文件可以进行MySQL数据库操作（比如允许操作MySQL的php)的权限已经可能将你的MySQL改动得面目全非了:

　　我今天帮朋友整理他的主页空间的时候，试着写了一个很简单的执行sql语句的php文件上传上去，其中连接字中的user,password我都试着置空，host=localhost，结果发现我的sql语句可以执行,于是执行select * from MySQL.user察看用户权限，发现这个用户在localhost权限非常高，连grant_priv都有，（察看的时候，会发现在root用户下有两行用户名、密码为空的，但各项权限有y 的，就是这个匿名用户本地、远程权限设置了）

　　所以我试着用这个php页面创建一个新用户，并grant给他较高的权限，结果一举成功，这样我就可以用这个新用户通过我本机的MySQL client连接到这个网站的MySQL server，并用这个新建立的用户的管理权限对这个网站的MySQL server进行管理，看到自己可以进行这样轻易获得深入的数据库操作，我怎么还敢把朋友的主页空间的敏感资料放入这个MySQL server呢？

　　改进建议：

　　1、在安装完成MySQL 后，不仅改变root用户的的密码，也同时改变匿名用户的密码，方法类似改变root的密码的方式：