Mssql和Mysql的安全性分析

2024-07-24 12:36:30

字體：大中小

供稿：網(wǎng)友

　　數(shù)據(jù)庫(kù)是電子商務(wù)、金融以及ERP系統(tǒng)的基礎(chǔ)，通常都保存著重要的商業(yè)伙伴和
客戶信息。大多數(shù)企業(yè)、組織以及政府部門的電子數(shù)據(jù)都保存在各種數(shù)據(jù)庫(kù)中，他們
用這些數(shù)據(jù)庫(kù)保存一些個(gè)人資料，還掌握著敏感的金融數(shù)據(jù)。但是數(shù)據(jù)庫(kù)通常沒有象
操作系統(tǒng)和網(wǎng)絡(luò)這樣在安全性上受到重視。數(shù)據(jù)是企業(yè)，組織的命脈所在，因此選擇
一款安全的數(shù)據(jù)庫(kù)是至關(guān)重要的。大型網(wǎng)站一般使用oracle或DB2，而中小型網(wǎng)站大
多數(shù)使用更加靈活小巧的mssql數(shù)據(jù)庫(kù)或者mysql數(shù)據(jù)庫(kù)。那么，在同樣的條件下，微
軟的mssql和免費(fèi)的mysql哪個(gè)更加安全呢？

我在我的機(jī)子上面用管理員帳號(hào)默認(rèn)安裝了mssql和mysql以便在相同的情況下測(cè)
試他們的安全性。我的系統(tǒng)配置如下：操作系統(tǒng)Microsoft windows 2000 Version5.0，
安裝了sp4，ftp服務(wù)和iis服務(wù)，支持asp和php。系統(tǒng)只有一個(gè)管理員帳號(hào)admin，guest
帳號(hào)沒有禁用。

　　一.系統(tǒng)內(nèi)部安全性分析

1.mysql數(shù)據(jù)庫(kù)權(quán)限控制問題

mysql的權(quán)限控制是基于mysql這個(gè)數(shù)據(jù)庫(kù)的，叫做授權(quán)表，一共包括包括六個(gè)表
columns_priv，db，func，host，tables_priv和user。先使用desc user命令查看非
常重要的user表的結(jié)構(gòu)以便查詢內(nèi)容，現(xiàn)在可以查看他的權(quán)限設(shè)置了。
使用命令select host,user,password,delete_priv,update_priv,drop_priv from user;
這個(gè)命令查看了幾個(gè)比較危險(xiǎn)的權(quán)限，顯示結(jié)果如下：

mysql> select host,user,password,delete_priv,update_priv,drop_priv from user;

+-----------+------+------------------+-------------+-------------+-----------+

| host | user | password | delete_priv | update_priv | drop_priv |

+-----------+------+------------------+-------------+-------------+-----------+

| localhost | root |0e4941f53f6fa106 | Y | Y | Y |

| % | root | | Y | Y | Y |

| localhost | | | Y | Y | Y |

| % | | | N | N | N |

+-----------+------+------------------+-------------+-------------+-----------+

4 rows in set (0.00 sec)
第一條表示在本機(jī)使用root用密碼登陸，擁有刪除記錄，修改記錄，刪除表等權(quán)限，
好，這是安全的。第二條表示在任何主機(jī)使用root不需密碼登陸，擁有刪除記錄，
修改記錄，刪除表等權(quán)限。第三條表示在本機(jī)匿名登陸，擁有刪除記錄，修改記
錄，刪除表等權(quán)限。最后條表示可以再任何主機(jī)匿名登陸，但是沒有任何權(quán)限。
顯然，第二，三，四都是不安全的！第二條不用說，就第三條而言，就算你在本地
是guest權(quán)限，但是也可以登陸mysql數(shù)據(jù)庫(kù)，而且擁有全部權(quán)限。這樣，就可以對(duì)數(shù)
據(jù)庫(kù)為所欲為了。
解決方法：如果你不需要遠(yuǎn)程維護(hù)，刪除掉第二條,