mysql安全配置

用root使用者啟動遠程服務一直是安全大忌，因為如果服務程式出現問題，遠程攻擊者極有可能獲得主機的完全控制權。MySQL從3.23.15版
本開始時作了小小的改動，預設安裝後服務要用mysql使用者來啟動，不允許root使用者啟動。如果非要用root使用者來啟動，必須加上--user=root

的參數(./safe_mysqld --user=root &)。因為MySQL中有LOAD DATA INFILE和SELECT ... INTO OUTFILE的SQL語句，如果是root使用者啟動了

MySQL伺服器，那麼，資料庫使用者就擁有了root使用者的寫入權限。不過MySQL還是做了一些限制的，比如LOAD DATA INFILE只能讀全域可讀的檔案

，SELECT ... INTO OUTFILE不能覆蓋已經存在的檔案。

本地的記錄檔也不能忽視，包括shell的日誌和MySQL自己的日誌。有些使用者在本地登陸或備份資料庫的時候為了圖方便，有時會在命令列參

數裡直接帶了資料庫的密碼，如：

shell>/usr/local/mysql/bin/mysqldump -uroot -ptest test>test.sql
shell>/usr/local/mysql/bin/mysql -uroot -ptest

這些命令會被shell記錄在曆史檔案裡，比如bash會寫入使用者目錄的.bash_history檔案，如果這些檔案不慎被讀，那麼資料庫的密碼就會泄漏

。使用者登陸資料庫後執行的SQL命令也會被MySQL記錄在使用者目錄的.mysql_history檔案裡。如果資料庫使用者用SQL語句修改了資料庫密碼，也會

因.mysql_history檔案而泄漏。所以我們在shell登陸及備份的時候不要在-p後直接加密碼，而是在提示後再輸入資料庫密碼。
另外這兩個檔案我們也應該不讓它記錄我們的操作，以防萬一。

shell>rm .bash_history .mysql_history
shell>ln -s /dev/null .bash_history
shell>ln -s /dev/null .mysql_history

上門這兩條命令把這兩個檔案連結到/dev/null，那麼我們的操作就不會被記錄到這兩個檔案裡了。
編程需要注意的一些問題

不管是用哪種程式語言寫串連MySQL資料庫的程式，有一條準則是永遠不要相信使用者提交的資料！
對於數字欄位，我們要使用查詢語句：SELECT * FROM table WHERE ID='234'，不要使用SELECT * FROM table WHERE ID=234這樣的查詢語句

。MySQL會自動把字串轉換為數字字元並且去除非數字字元。如果使用者提交的資料經過了mysql_escape_string處理，這樣我們就可以完全杜絕

了sql inject攻擊，關於sql inject攻擊請參考下面連結的文章：
http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf
http://www.ngssoftware.com/papers/advanced_sql_injection.pdf
各種程式設計語言該注意的問題：

1)所有Web程式：
a)嘗試在Web表單輸入單引號和雙引號來測試可能出現的錯誤，並找出原因所在。
b)修改URL參數帶的%22 ('"'), %23 ('#'), 和 %27 (''')。
c)對於數字欄位的變數，我們的應用程式必須進行嚴格的檢查，否則是非常危險的。
d)檢查使用者提交的資料是否超過欄位的長度。
e)不要給自己程式串連資料庫的使用者過多的存取權限。

2)PHP：
a)檢查使用者提交的資料在查詢之前是否經過addslashes處理，在PHP 4.0.3以後提供了基於MySQL C API的函數mysql_escape_string()。

3)MySQL C API：
a)檢查查詢字串是否用了mysql_escape_string() API調用。

4)MySQL++：
a)檢查查詢字串是否用了escape和quote處理。

5)Perl DBI：
a)檢查查詢字串是否用了quote()方法。

6)Java JDBC：
a)檢查查詢字串是否用了PreparedStatement對象。

4、一些小竅門

1)如果不慎忘記了MySQL的root密碼，我們可以在啟動MySQL伺服器時加上參數--skip-grant-tables來跳過授權表的驗證 (./safe_mysqld

--skip-grant-tables &)，這樣我們就可以直接登陸MySQL伺服器，然後再修改root使用者的口令，重啟MySQL就可以用新口令登陸了。

2)啟動MySQL伺服器時加上--skip-show-database使一般資料庫使用者不能瀏覽其它資料庫。

3)啟動MySQL伺服器時加上--chroot=path參數，讓mysqld守護進程運行在chroot環境中。這樣SQL語句LOAD DATA INFILE和SELECT ... INTO

OUTFILE就限定在chroot_path下讀寫檔案了。這裡有一點要注意，MySQL啟動後會建立一個mysql.sock檔案，預設是在/tmp目錄下。使用了

chroot後，MySQL會在chroot_path/tmp去建立mysql.sock檔案，如果沒有chroot_path/tmp目錄或啟動MySQL的使用者沒有這個目錄寫入權限就不能

建立mysql.sock檔案，MySQL會啟動失敗。比如我們加了--chroot=/usr/local/mysql/啟動參數，那麼最好建立一個啟動MySQL的使用者能寫的
/usr/local/mysql/tmp目錄，當然我們也可以用--socket=path來指定mysql.sock檔案的路徑，但這個path一定要在chroot_path裡面。

4)啟動MySQL伺服器時加上--log-slow-queries[=file]參數，這樣mysqld會把SQL命令執行時間超過long_query_time的寫入file檔案。如果沒

有指定=file，mysqld預設會寫到資料目錄下的hostname-slow.log。如果只指定了filename，沒有指定路徑，那麼mysqld也會把filename寫到

資料目錄下。我們通過這個記錄檔可以找出執行時間超長的查詢語句，然後儘可能的最佳化它減輕MySQL伺服器的負擔。

5)如果我們只需本機使用MySQL服務，那麼我們還可以加上--skip-networking啟動參數使MySQL不監聽任何TCP/IP串連，增加安全性