phpMyAdmin 是不是对生产造成安全风险

Posted

技术标签:

【中文标题】phpMyAdmin 是不是对生产造成安全风险【英文标题】:Does phpMyAdmin pose security risk on productionphpMyAdmin 是否对生产造成安全风险 【发布时间】:2011-04-09 09:09:14 【问题描述】:

我使用的 VPS 曾经有 phpMyAdmin 预安装选项,但删除它说它会带来安全风险。是吗?

如果是这样,您是否推荐在生产环境中浏览数据库的替代方法(除了在控制台中运行 SQL 命令)?

【问题讨论】:

我建议在控制台中运行 SQL 命令。这比单击数千个按钮更可靠。 【参考方案1】:

您添加到系统中的任何额外软件都会增加复杂性。复杂性是安全的敌人。

PHP webapps 因编码草率而臭名昭著,当然 phpMyAdmin 过去曾有过more than its share of security holes。您当然可以通过例如减轻损害。使用客户端证书放置 HTTPS,但这并不能防止跨站点请求伪造攻击。

对于生产机器,我真的更喜欢坚持使用控制台。

【讨论】:

【参考方案2】:

这取决于。如果您只能通过 SSL 获得对 PhpMyAdmin 的所有访问权限,并在网站上实施强密码安全性,那么它可能是安全的。

否则,它会将您的整个数据库服务器以清晰的视野向世界开放。

【讨论】:

【参考方案3】:

1) 安装经典的 PHPMyAdmin 2) 将 ssl 添加到您的 phpmyadmin 3)添加.htacess并用密码保护它

【讨论】:

您还可以添加 IP 过滤以访问您域的特定目录。【参考方案4】:

更多第三方软件 - 您可以获得更多问题。我的建议是在 vps 上使用 mysql 控制台,并以 root 权限拒绝外部连接到 mysql

【讨论】:

【参考方案5】:

我建议在本地机器上设置 phpMyAdmin。然后为您的生产机器设置一个 ssh 隧道,并将 mysql 的端口转发到您的本地机器。配置您的本地 phpMyAdmin 以连接到该转发端口。

也就是说,如果你真的想使用 phpMyAdmin。

【讨论】:

在这种情况下,您也可以使用 MySQL Workbench。甚至更好。【参考方案6】:

过去肯定存在安全整体。未来可能会找到新的。向公共网络空间开放这种工具总是有风险的。

我建议安装数据库管理软件,并通过 SSH 隧道连接到您的生产数据库。如果您使用的是 Mac,我会免费安装 Sequel Pro。在其他平台上可以使用 Navicat(和其他类似软件),但确实要花钱。

【讨论】:

以上是关于phpMyAdmin 是不是对生产造成安全风险的主要内容,如果未能解决你的问题,请参考以下文章

工业大数据安全风险与技术应对

为啥切片 params 散列会对批量分配造成安全问题?

收缩数据库 是不是有风险

外键限制可以成为安全利益和/或风险吗?

PHP My Admin被曝存在严重CSRF漏洞可对数据库造成破坏

汽车功能安全 - 危险分析和风险评估