【发布时间】:2013-03-02 05:18:21
【问题描述】:
我目前正在完成我的应用程序的安全性。
我要问各位专家的一个问题是,是否有办法让某人控制我的 unix 平台,从某种 mysql 日志中提取密码?
我平时在php和mysql之间的密码传输都是这样完成的:
$sql = "CALL client_create(?, ...)";
$stmt = $cnx->prepare($sql);
$stmt->execute(array($hashpw, ...));
$cnx->commit();
我的设置中没有autocommit,如果这改变了什么的话。
所以基本上必须有某种重做日志或类似的,对吧?那怎么办,应该担心吗?我应该偶尔冲洗一次吗?
感谢您的帮助!
【问题讨论】:
-
如果他们控制了您的系统,他们可以通过他们想要的任何线路获取密码,并且可能只需下载您的整个数据库。但是,是的,您必须像保存密码一样保护二进制日志。如果您不关心灾难恢复,请仅将它们扔掉。
-
innodb 数据是否可以从文件系统中清晰读取?我的意思是没有实际连接到 mysql
-
是的,除此之外,我假设您在该文件系统上有一个文件,其中包含该数据库的密码。例如,您的 PHP 代码用于插入数据(除非它在另一台服务器上)。或者我只是停止mysql,并将其设置为以root 开头,没有密码。
-
是的,但用户的密码根本没有授权。只有 EXECUTE 授权,它不会导致任何返回任何密码的函数。没有密码的root怎么办?它会起作用吗?我有我的 root mysql 用户的密码。
标签: php mysql security logging centos