[소개] 데이터베이스는 전자상거래, 금융, ERP 시스템의 근간이 되는 시스템으로, 주로 중요한 비즈니스 파트너 및 고객 정보를 저장하고 있습니다. 대부분의 기업, 조직 및 정부 부서의 전자 데이터는 이러한 데이터베이스를 사용하여 일부 개인 정보를 저장하고 민감한 금융 정보도 보관합니다.
데이터베이스는 전자 상거래, 금융 및 ERP 시스템에 사용됩니다. . 기본적으로 중요한 사업 파트너와
고객 정보가 저장되는 경우가 많습니다. 대부분의 회사, 조직 및 정부 부서의 전자 데이터는 다양한 데이터베이스에 저장됩니다.
이러한 데이터베이스를 사용하여 일부 개인 정보를 저장하고 민감한 금융 데이터도 보관합니다. 그러나 데이터베이스는 일반적으로
운영 체제 및 네트워크만큼 보안에 많은 관심을 받지 않습니다. 데이터는 기업과 조직의 생명선이므로
안전한 데이터베이스를 선택하는 것이 중요합니다. 대규모 웹사이트는 일반적으로 oracle이나 DB2를 사용하는 반면, 중소규모 웹사이트는 대부분 보다 유연하고 컴팩트한 mssql 데이터베이스 또는 mysql 데이터베이스를 사용합니다. 그렇다면 동일한 조건에서 Microsoft의 mssql과 무료 mysql 중 어느 것이 더 안전한가요?
동일한 상황에서 보안을 테스트하기 위해
sp4, ftp 서비스 및 iis 서비스가 설치되어 있으며 asp 및 php를 지원합니다. 시스템에는 하나의 관리자 계정인 admin만 있으며 게스트
계정은 비활성화되지 않습니다.
1.mysql 데이터베이스 권한 제어 문제
Mysql 권한 제어는 mysql 데이터베이스라는 것을 기반으로 한다. 인증 테이블에는
columns_priv, db, func, host, tables_priv, user 등 총 6개의 테이블이 포함되어 있습니다. 먼저 desc user 명령을 사용하여 콘텐츠를 쿼리하는 매우 중요한 사용자 테이블의 구조를 확인하세요. 이제 해당 권한 설정을 볼 수 있습니다.select host,user,password,delete_priv,update_priv,drop_priv from user;
mysql> select host,user,password,delete_priv,update_priv,drop_priv from user; +-----------+------+------------------+-------------+-------------+-----------+ | host | user | password | delete_priv | update_priv | drop_priv | +-----------+------+------------------+-------------+-------------+-----------+ | localhost | root |0e4941f53f6fa106 | Y | Y | Y | | % | root | | Y | Y | Y | | localhost | | | Y | Y | Y | | % | | | N | N | N | +-----------+------+------------------+-------------+-------------+-----------+ 4 rows in set (0.00 sec)
첫 번째는 루트 비밀번호로 로그인하는 것입니다. 레코드 삭제, 레코드 수정, 테이블 삭제 등의 권한이 있습니다.
알겠습니다. 안전합니다. 두 번째 항목은 루트를 사용하여 비밀번호 없이 모든 호스트에 로그인할 수 있고 레코드 삭제,
분명히 두 번째, 세 번째, 네 번째는 모두 안전하지 않습니다! 말할 필요도 없이 두 번째, 세 번째는 로컬에서 게스트 권한이 있어도
여전히 mysql 데이터베이스에 로그인하고 전체 권한을 가질 수 있습니다. 이런 방식으로 데이터베이스로 원하는 모든 작업을 수행할 수 있습니다.
해결책: 원격 유지 관리가 필요하지 않은 경우 두 번째 항목인
delete from user where host="%" and user="root";
delete from user where host="localhost" and user="";