Mssql和Mysql的安全性分析

2024-07-24 12:35:33

字體：大中小

來源：轉載

供稿：網友

　　數據庫是電子商務、金融以及ERP系統的基礎，通常都保存著重要的商業伙伴和
　　客戶信息。大多數企業、組織以及政府部門的電子數據都保存在各種數據庫中，他們
　　用這些數據庫保存一些個人資料，還掌握著敏感的金融數據。但是數據庫通常沒有象
　　操作系統和網絡這樣在安全性上受到重視。數據是企業，組織的命脈所在，因此選擇
　　一款安全的數據庫是至關重要的。大型網站一般使用oracle或DB2，而中小型網站大
　　多數使用更加靈活小巧的mssql數據庫或者mysql數據庫。那么，在同樣的條件下，微
　　軟的mssql和免費的mysql哪個更加安全呢？

　　我在我的機子上面用管理員帳號默認安裝了mssql和mysql以便在相同的情況下測
　　試他們的安全性。我的系統配置如下：操作系統Microsoft windows 2000 Version5.0，
　　安裝了sp4，ftp服務和iis服務，支持asp和php。系統只有一個管理員帳號admin，guest
　　帳號沒有禁用。

　　　　一.系統內部安全性分析

　　1.mysql數據庫權限控制問題

　　mysql的權限控制是基于mysql這個數據庫的，叫做授權表，一共包括包括六個表
　　columns_priv，db，func，host，tables_priv和user。先使用desc user命令查看非
　　常重要的user表的結構以便查詢內容，現在可以查看他的權限設置了。
　　使用命令select host,user,password,delete_priv,update_priv,drop_priv from user;
　　這個命令查看了幾個比較危險的權限，顯示結果如下：

　　mysql> select host,user,password,delete_priv,update_priv,drop_priv from user;
　　+-----------+------+------------------+-------------+-------------+-----------+
　　| host | user | password | delete_priv | update_priv | drop_priv |
　　+-----------+------+------------------+-------------+-------------+-----------+
　　| localhost | root |0e4941f53f6fa106 | Y | Y | Y |
　　| % | root | | Y | Y | Y |
　　| localhost | | | Y | Y | Y |
　　| % | | | N | N | N |
　　+-----------+------+------------------+-------------+-------------+-----------+
　　4 rows in set (0.00 sec)
　　第一條表示在本機使用root用密碼登陸，擁有刪除記錄，修改記錄，刪除表等權限，
　　好，這是安全的。第二條表示在任何主機使用root不需密碼登陸，擁有刪除記錄，
　　修改記錄，刪除表等權限。第三條表示在本機匿名登陸，擁有刪除記錄，修改記
　　錄，刪除表等權限。最后條表示可以再任何主機匿名登陸，但是沒有任何權限。
　　顯然，第二，三，四都是不安全的！第二條不用說，就第三條而言，就算你在本地
　　是guest權限，但是也可以登陸mysql數據庫，而且擁有全部權限。這樣，就可以對數
　　據庫為所欲為了。
　　解決方法：如果你不需要遠程維護，刪除掉第二條,

　　delete from user where
　　host="%" and user="root";
　　或者給它加個強壯的密碼。刪除第三條，

　　delete from
　　user where host="localhost" and user=""; 。

（編輯：武林網）

上一篇：MySQL安全問題的一點心得

下一篇：Mysql數據庫的安全配置實用技巧