phpMyAdmin 是不是对生产造成安全风险

Posted 2023-02-25

【中文标题】phpMyAdmin 是不是对生产造成安全风险

【英文标题】：Does phpMyAdmin pose security risk on productionphpMyAdmin 是否对生产造成安全风险

【发布时间】：2011-04-09 09:09:14

【问题描述】：

我使用的 VPS 曾经有 phpMyAdmin 预安装选项，但删除它说它会带来安全风险。是吗？

如果是这样，您是否推荐在生产环境中浏览数据库的替代方法（除了在控制台中运行 SQL 命令）？

【问题讨论】：

我建议在控制台中运行 SQL 命令。这比单击数千个按钮更可靠。

【参考方案1】：

您添加到系统中的任何额外软件都会增加复杂性。复杂性是安全的敌人。

PHP webapps 因编码草率而臭名昭著，当然 phpMyAdmin 过去曾有过more than its share of security holes。您当然可以通过例如减轻损害。使用客户端证书放置 HTTPS，但这并不能防止跨站点请求伪造攻击。

对于生产机器，我真的更喜欢坚持使用控制台。

【参考方案2】：

这取决于。如果您只能通过 SSL 获得对 PhpMyAdmin 的所有访问权限，并在网站上实施强密码安全性，那么它可能是安全的。

否则，它会将您的整个数据库服务器以清晰的视野向世界开放。

【参考方案3】：

1) 安装经典的 PHPMyAdmin 2) 将 ssl 添加到您的 phpmyadmin 3）添加.htacess并用密码保护它

【讨论】：

您还可以添加 IP 过滤以访问您域的特定目录。

【参考方案4】：

更多第三方软件 - 您可以获得更多问题。我的建议是在 vps 上使用 mysql 控制台，并以 root 权限拒绝外部连接到 mysql

【参考方案5】：

我建议在本地机器上设置 phpMyAdmin。然后为您的生产机器设置一个 ssh 隧道，并将 mysql 的端口转发到您的本地机器。配置您的本地 phpMyAdmin 以连接到该转发端口。

也就是说，如果你真的想使用 phpMyAdmin。

【讨论】：

在这种情况下，您也可以使用 MySQL Workbench。甚至更好。

【参考方案6】：

过去肯定存在安全整体。未来可能会找到新的。向公共网络空间开放这种工具总是有风险的。

我建议安装数据库管理软件，并通过 SSH 隧道连接到您的生产数据库。如果您使用的是 Mac，我会免费安装 Sequel Pro。在其他平台上可以使用 Navicat（和其他类似软件），但确实要花钱。