使用默认用户/密码离开 phpmyadmin 有啥不安全的

Posted 2023-02-25

【中文标题】使用默认用户/密码离开 phpmyadmin 有啥不安全的

【英文标题】：Whats unsafe about leaving phpmyadmin with a default user/pass使用默认用户/密码离开 phpmyadmin 有什么不安全的

【发布时间】：2012-08-24 16:25:18

【问题描述】：

当我启动 phpmyadmin 时，我看到这条消息：

您的配置文件包含与默认 mysql 特权帐户相对应的设置（没有密码的 root）。您的 MySQL 服务器正在使用此默认值运行，容易受到入侵，您确实应该通过为用户“root”设置密码来修复此安全漏洞。

这有什么不安全的地方？ 除非攻击者能以某种方式欺骗 mysql 以为他们坐在我的电脑前，否则他们无法继续。

如果攻击者不是来自正确的主机，是否还有其他方法可以登录 mysql？

我知道在 php 中你可以选择你想成为的主机，但除非他们有权编辑我的服务器/计算机上的 php 文件，否则我看不出他们会造成任何伤害。

【问题讨论】：

同一共享主机 IP 上的攻击者怎么样？

无论如何，您不必将 phpMyAdmin 安装到生产服务器中，它的安全漏洞历史太危险了。不要惹它！

【参考方案1】：

即使您的MySQL 不允许来自localhost 以外的其他主机的访问，输入密码始终是安全的。

您的phpMyAdmin 是通过浏览器而非IP 访问的。

即使您将页面托管在您的计算机上，最好还是输入密码。我每天都会扫描我的计算机和服务器上的*phpMyAdmin*、*PMA*。

是的，这是不安全的。

【讨论】：

所以你是说检查了 phpmyadmin 的 ip 而不是连接的用户，所以它总是 localhost？这是否也意味着如果我摆脱了 phpmyadmin 我就不会有任何后顾之忧了？

不，你应该总是担心，服务器/脚本/等总是有漏洞..但你应该总是尽量防止这种事情发生。最好保护一切。即使您使用密码保护root，您仍然应该使用.htaccess 密码或受保护的目录（只能从某些IP 访问）保护phpMyAdmin。

Here 是保护您的安装的起点。

服务器安装过时，存在安全问题，带有 sql 注入的脚本……诸如此类。\

我收到大量具有不同 IP 的日志试图访问 PMA 或替代方案... :)

【参考方案2】：

对于开发，这可能不是问题，但在生产环境中，您永远不应该使用默认安全设置。

如果您可以从 Internet 访问 phpMyAdmin 并最终访问 MySQL，这意味着其他人也可以，您应该选择安全密码并确保您的用户名不是 root。

无论如何，大多数托管服务提供商都会强制您选择安全密码。