早上闲着没事在网上搜索了一下,搜出来的结果吓了我一跳,很多采用phpMyAdmin来管理数据库的网站(包括政府、企业、软件公司、甚至专业网络公司等几千个网站),都可以任意修改数据,超级管理员都可更改。试问一下,该问题值得骄傲吗?
这是中国人的一个通病,安全意识差的一塌糊涂。至于我用什么关键词搜索的就不透露了,免得这些网站遭殃,当然偶也没有搞任何破坏。
下面我提供一些解决方案,希望这些人能提高安全意识
1、phpMyAdmin默认是没有启用用户验证的,强烈建议在投入运行的网站中启用用户验证功能,操作方法请修改config.inc.php中的$cfg['Servers'][$i]['auth_type'];
2、mysql安装好之后默认有4个用户,可以浏览一下user表,强烈建议修改超级用户密码,并去掉那些可远程连接的用户;
3、使用robots.txt禁止搜索引擎收录,操作方法如下:
在网站中生成一个robots.txt(例如:网站为http://www.test.com,则放在http://www.test.com/robots.txt中) robots.txt内容如下:
User-agent: *
Disallow: /phpmyadmin/
上面中User-agent: *表示禁止所有搜索引擎收录,Disallow: /phpmyadmin/表示禁止搜索引擎收录phpmyadmin这个目录