使用MySQL，安全问【ān quán wèn】题不能【tí bú néng】🥇不注意。以下是【yǐ xià shì】MySQL提示的👭23个注意🖐事项：

1。如果客户端和服务器🍓端的连接需要【jiē xū yào】🏸跨越并😣通过不可信任【kě xìn rèn】的网络【de wǎng luò】，那么就需要使【xū yào shǐ】用⏬SSH隧道来加密该🤯连接的【lián jiē de】通信。

2。用【yòng】set password语句来修改用【yòng】户的密🛺码⭕，三个步【sān gè bù】骤♊，先【xiān】“mysql -u root”登陆数【dēng lù shù】🐗据库系统，然后“mysql> update mysql.user set password=password('newpwd')”，最后执行📸“flush privileges”就可以【jiù kě yǐ】了。

3。需要提🏽防的攻击有📴，防偷听【fáng tōu tīng】、篡改、回放➖、拒绝服【jù jué fú】务等🐦，不涉及可用性✌和容错方面【fāng miàn】。对所有的连接【de lián jiē】、查询、其他操【qí tā cāo】作使用➿基于ACL即访问控制列【kòng zhì liè】表的安🏘全措施来完成。也有一🚾些对【xiē duì】SSL连接的【lián jiē de】支持【zhī chí】💁。

4。除了root用户外【yòng hù wài】😘的其他任何用【rèn hé yòng】😇户不允👋许访问mysql主数据库中的【kù zhōng de】user表；

加密后🐼存放在【cún fàng zài】user表中的加密后🐼的用户【de yòng hù】密码一旦泄露🥉，其他人【qí tā rén】可以随【kě yǐ suí】意用该📸用户名/密码相应的数【yīng de shù】🏭据库😝；

5。用【yòng】🆘grant和revoke语句来【yǔ jù lái】🚅进行用【jìn háng yòng】🚂户访问控制的工作；

6。不使用🏰明文密🈶码，而是使【ér shì shǐ】用⭕md5()和😳sha1()等单向【děng dān xiàng】的哈系【de hā xì】函数来【hán shù lái】设置密码；

7。不选用字典中的字来做密码；

8。采用防【cǎi yòng fáng】🚷火墙来去掉50%的外部危险【wēi xiǎn】，让数据💥库系统躲在【zài】防⏩火墙后【huǒ qiáng hòu】面工作😐，或放置在【zài】DMZ区域中；

9。从因特【cóng yīn tè】😍网上用nmap来扫描3306端口【duān kǒu】🕢，也可用🎉telnet server_host 3306的方法【de fāng fǎ】🍢测试👬，不能允许从非信任网络中访问数据【wèn shù jù】库服务🍼器的【qì de】🏺3306号TCP端口【duān kǒu】🕢，因此需要在防【yào zài fáng】火墙或【huǒ qiáng huò】路由器上做设定；

10。为了防止被恶意传入⬇非法参【fēi fǎ cān】🐏数【shù】，例如🥈where ID=234，别人却👭输入【shū rù】where ID=234 OR 1=1导致全【dǎo zhì quán】部显示，所以在web的表单【de biǎo dān】中使用【zhōng shǐ yòng】''或🐒""来用字符串，在动态URL中加入%22代表双🏧引号【hào】🐜、%23代表井【dài biǎo jǐng】🗣号【hào】🐜、%27代表单引号【hào】🐜；传递未🎌检 查过的值给mysql数据库【shù jù kù】是非常【shì fēi cháng】📎危险的；

11。在传递数据给【shù jù gěi】⛩mysql时检查一下大🏄小【xiǎo】；

12。应用程【yīng yòng chéng】🍫序需要【xù xū yào】连接到😥数据库应该使用一般【yòng yī bān】的用户【yòng hù】🙁帐号，只开放🅰少数必要的权限给该用户【yòng hù】；

13。在各编📃程接口(C C++ PHP Perl Java JDBC等)中使用特定【tè dìng】‘逃脱字🍷符【fú】’函数【hán shù】💇；

在因特【zài yīn tè】网上使用🚐mysql数据库时一定📀少用🚐传输明文🐜的数据【de shù jù】🔖，而用【ér yòng】🚐SSL和【hé】🙉SSH的加密方式数【fāng shì shù】据来传输；

14。学会使😉用tcpdump和strings工具来💹查看传【chá kàn chuán】输数据【shū shù jù】的安全性【xìng】，例如tcpdump -l -i eth0 -w -src or dst port 3306 | strings。以普通【yǐ pǔ tōng】🤲用户来【yòng hù lái】⬛启动📕mysql数据库服务；

15。不使用到表的🎟联结符【lián jié fú】号【hào】🙌，选用的参数 --skip-symbolic-links；

16。确信在【què xìn zài】🆗mysql目录中只有启🎢动数据【dòng shù jù】库服务的用户才可以对文件【duì wén jiàn】🍄有读和【yǒu dú hé】写的权🐜限；

17。不许将process或【huò】super权限付【quán xiàn fù】👍给非管理用户，该mysqladmin processlist可以列📊举出当【jǔ chū dāng】前执行的查询【de chá xún】🧡文本；super权限可用于切断客户【duàn kè hù】🎮端连接、改变服🐊务器【wù qì】🎃运行参数状态【shù zhuàng tài】🕛、控制拷贝复制【bèi fù zhì】数据库👦的服务器【wù qì】🎃；

18.file权限不付给管理员以🦕外的用【wài de yòng】户📶，防止出【fáng zhǐ chū】🙅现load data '/etc/passwd'到表中【dào biǎo zhōng】再用select 显示出来的问【lái de wèn】题⛏；

19。如果不😠相信DNS服务公🐬司的服⭐务，可以在主机名【zhǔ jī míng】🍅称允许【chēng yǔn xǔ】表中只【biǎo zhōng zhī】设置IP数字地【shù zì dì】址；

20。使用【shǐ yòng】🌓max_user_connections变量来【biàn liàng lái】使💘mysqld服务进程，对一个【duì yī gè】指定帐户限定连接数💢；

21.grant语句也【yǔ jù yě】支持资🛶源控制【yuán kòng zhì】🎣选项；

22。启动【qǐ dòng】🗼mysqld服务进程的安全选项开关，--local-infile=0 或【huò】🔘1 若是🅿0则客户端程序【duān chéng xù】🛸就无法🥞使用local load data了【le】，赋权的【fù quán de】一个例⏳子grant insert(user) on mysql.user to 'user_name'@'host_name';若使用--skip-grant-tables系统将对任何📡用户的访问不【fǎng wèn bú】做任何访问控【fǎng wèn kòng】🚧制🏂，但可以用【kě yǐ yòng】 mysqladmin flush-privileges或【huò】🔘mysqladmin reload来开启🆖访问控【fǎng wèn kòng】🚧制🏂；默认情【mò rèn qíng】况是show databases语句对所有用户开放【hù kāi fàng】，可以用【kě yǐ yòng】--skip-show-databases来关闭【lái guān bì】🐮掉【diào】❕。

23。碰到【pèng dào】Error 1045(28000) Access Denied for user 'root'@'localhost' (Using password:NO)错误时，你需要🏾重新设【chóng xīn shè】置密码，具体方【jù tǐ fāng】🐻法是：先用--skip-grant-tables参数启🌯动🚍mysqld，然后执行 mysql -u root mysql,mysql>update user set password=password('newpassword') where user='root';mysql>Flush privileges;，最后重🏺新启动【xīn qǐ dòng】🚍mysql就可以【jiù kě yǐ】了。