軟件測試開發技術MySQL數據庫配置技巧

軟件測試開發技術MySQL數據庫配置技巧MySQL數據庫

關鍵字：MySQL數據庫用root用戶啟動遠程服務一直是安全大忌，因為如果服務程序出現問題，遠程攻擊者極有可能獲得主機的完全控制權。MySQL從3.23.15版 
本開始時作了小小的改動，默認安裝后服務要用mysql用戶來啟動，不允許root用戶啟動。如果非要用root用戶來啟動，必須加上--user=root

的參數(./safe_mysqld --user=root &)。因為MySQL中有LOAD DATA INFILE和SELECT ... INTO OUTFILE的SQL語句，如果是root用戶啟動了

MySQL服務器，那么，數據庫用戶就擁有了root用戶的寫權限。不過MySQL還是做了一些限制的，比如LOAD DATA INFILE只能讀全局可讀的文件

，SELECT ... INTO OUTFILE不能覆蓋已經存在的文件。 

本地的日志文件也不能忽視，包括shell的日志和MySQL自己的日志。有些用戶在本地登陸或備份數據庫的時候為了圖方便，有時會在命令行參

數里直接帶了數據庫的密碼，如： 

shell>/usr/local/mysql/bin/mysqldump -uroot -ptest test>test.sql 
shell>/usr/local/mysql/bin/mysql -uroot -ptest 

這些命令會被shell記錄在歷史文件里，比如bash會寫入用戶目錄的.bash_history文件，如果這些文件不慎被讀，那么數據庫的密碼就會泄漏

。用戶登陸數據庫后執行的SQL命令也會被MySQL記錄在用戶目錄的.mysql_history文件里。如果數據庫用戶用SQL語句修改了數據庫密碼，也會

因.mysql_history文件而泄漏。所以我們在shell登陸及備份的時候不要在-p后直接加密碼，而是在提示后再輸入數據庫密碼。 
另外這兩個文件我們也應該不讓它記錄我們的操作，以防萬一。 

shell>rm .bash_history .mysql_history 
shell>ln -s /dev/null .bash_history 
shell>ln -s /dev/null .mysql_history 

上門這兩條命令把這兩個文件鏈接到/dev/null，那么我們的操作就不會被記錄到這兩個文件里了。 
編程需要注意的一些問題 

不管是用哪種程序語言寫連接MySQL數據庫的程序，有一條準則是永遠不要相信用戶提交的數據！ 
對于數字字段，我們要使用查詢語句：SELECT * FROM table WHERE ID=’234’，不要使用SELECT * FROM table WHERE ID=234這樣的查詢語句

。MySQL會自動把字串轉換為數字字符并且去除非數字字符。如果用戶提交的數據經過了mysql_escape_string處理，這樣我們就可以完全杜絕

了sql inject攻擊，關于sql inject攻擊請參考下面鏈接的文章： 
http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf 
http://www.ngssoftware.com/papers/advanced_sql_injection.pdf 
各種編程語言該注意的問題： 

1)所有Web程序： 
a)嘗試在Web表單輸入單引號和雙引號來測試可能出現的錯誤，并找出原因所在。 
b)修改URL參數帶的%22 (’"’), %23 (’#’), 和 %27 (’’’)。 
c)對于數字字段的變量，我們的應用程序必須進行嚴格的檢查，否則是非常危險的。 
d)檢查用戶提交的數據是否超過字段的長度。 
e)不要給自己程序連接數據庫的用戶過多的訪問權限。 

原文轉自：http://www.anti-gravitydesign.com