MySQL：安全面前谨慎，小心被后门伤害（mysql后门）

随着 MySql 数据库在 Web 开发工程师中日益普及，在许多服务器上都被安装了 MySql，那么它怎么样保护数据库安全呢？在安装 MySql 数据库以前，需要完成以下几个步骤：

1. 首先更改MySql的root用户，并且设置强度较高的密码：

MySql的root用户是最强大的用户，能够做出任何对数据库的变更，因此在设置完用户名和密码之后，就要加强对它的安全保护，设置强度较高的密码就是一项重要步骤。可以通过修改MySql的配置文件，增加root用户更长的默认密码，同时禁止root用户登录该MySQL实例，实现密码的最大的安全性。

2. 启用MySql的安全模式：

可以使用MySql 的 –skip-grant-tables 选项，跳过校验MySql用户权限的过程，加强MySql的安全级别。如果要启用MySql的安全模式，可以在MySql的my.cnf文件添加skip-grant-tables选项或者在终端输入以下命令

mysqld start –skip-grant-tables

3. 防止SQL注入攻击：

SQL 注入攻击是一种常见的应用攻击，它可以让攻击者对数据库进行意想不到的操作，从而达到破坏数据库系统的目的。要防止 SQL 注入攻击，最好的做法是使用参数化查询，而不是拼接字符串来构建 SQL 语句：

$sql = “SELECT * FROM users WHERE username = ?”;

$stmt = $pdo->prepare($sql);

$stmt->execute([$username]);

4. 谨慎使用远程访问权限：

MySql 默认创建的 root 用户不允许远程访问，但如果在安装时开启了远程访问权限，或者有误修改设置后开启了远程访问权限，会非常危险，因此应尽量屏蔽远程访问MySql的用户：

$query=’GRANT ALL PRIVILEGES ON *.* TO ‘johndoe’@’localhost’ IDENTIFIED BY ‘password’ WITH GRANT OPTION’;

以上四点只是MySql安全的基本实践，除此之外，还可以加大对MySql的日常监控，比如监控MySql的访问日志，从而发现可疑的行为，以及及时发现被植入后门程序的机会。只有把所有的安全实践做到位，才能打击到攻击者，有效确保MySql的安全。