a little bit of tech, a little bit of green, to help tame the savage techmachine.
 

早上闲着没事在网上搜索了一下,搜出来的结果吓了我一跳,很多采用phpMyAdmin来管理数据库的网站(包括政府、企业、软件公司、甚至专业网络公司等几千个网站),都可以任意修改数据,超级管理员都可更改。试问一下,该问题值得骄傲吗?

这是中国人的一个通病,安全意识差的一塌糊涂。至于我用什么关键词搜索的就不透露了,免得这些网站遭殃,当然偶也没有搞任何破坏。

下面我提供一些解决方案,希望这些人能提高安全意识

1、phpMyAdmin默认是没有启用用户验证的,强烈建议在投入运行的网站中启用用户验证功能,操作方法请修改config.inc.php中的$cfg['Servers'][$i]['auth_type'];

2、mysql安装好之后默认有4个用户,可以浏览一下user表,强烈建议修改超级用户密码,并去掉那些可远程连接的用户

3、使用robots.txt禁止搜索引擎收录,操作方法如下:

  • 在网站中生成一个robots.txt(例如:网站为http://www.test.com,则放在http://www.test.com/robots.txt中)
  • robots.txt内容如下:
    User-agent: *
    Disallow: /phpmyadmin/

    上面中User-agent: *表示禁止所有搜索引擎收录,Disallow: /phpmyadmin/表示禁止搜索引擎收录phpmyadmin这个目录
posted on 2004-11-28 19:05  xyublog  阅读(636)  评论(0编辑  收藏  举报