如何提高MySQL数制库的安全性

当一个项目拥有大量的用户和数据信息需要处理的时候，数据库的安全性也就显得尤其重要，无论是在服务端还是客户，特别是在开始连接到MYSQL数据库到网站的时候都有可能产生安全问题。本文就来说一说该如何防范和提高MySQL数据库的安全性。

一、从操作系统角度来保护MySQL

如果你的MySQL正运行在类似于UNIX的操作系统中，那么以root用户的身份运行MySQL服务器(mysqld)是一个非常错误的选择。因为，这可以赋予一个MYSQL普通用户读写操作系统任何地方的文件的权限。这一点是非常重要的，但又是容易被忽略的，这是曾经用来攻击APACHE网站的常用方法之一。

因此，创建一个专门用运行mysqld的特定MySQL用户是一个好主意。此外，还可以建立只能够由MySQL用户访问的目录。当然更理想的办法是，应该将MySQL服务器建立于防火墙后。这样，MySQL服务器就可以终止来自未授权机器上的连接，检查一下是否可从服务器之外，以端口号为3306的方式连接MySQL。这是MySQL运行的默认端口，可以在防火墙中关闭它。

二、设置用户密码

必须确认MySQL的所有用户都有密码(特别是ROOT用户)并且要选好这些密码，定期修改，与使用操作系统密码一样。我们要记住的基本原则是不要使用纯字母作为密码，一般数字和字母的结合是最好的方案。

如果在脚本中保存用户密码，请确认只有密码保存在该脚本中的用户可以阅读该脚本。用来连接数据库的PHP脚本需要能够访问的那个用户的密码。将登录名和密码保存在一个PHP脚本可能是安全的，这样可以在需要的时候包含这个文件。这个脚本必须小心的保存在WEB文档结构以外，并且只能由特定的用户进行访问。

不要以纯文本的形式将密码保存于一个数据库中。 MySQL密码不能这样保存的，但是在WEB应用程序中通过也要保存网站用户的账户和密码。可以用MD5和MySQL的SHAl()函数将密码加密后再进行保存。如果运行在SELECT语句的时候，以这些格式之一使用INSERT插入一个密码时，必须再次使用相同的函数检查用户输入的密码。

3、用户权限

关于MySQL的权限问题大家可以去网上找资料学习，这里就不详细的介绍了。不要授予任何用户不必要的权限，可以查看grant表来确认用户的权限。如果不是绝对需要，请不要将PROCESS、FILE、SHUTDOWN和RELOAD等权限授予任何非管理员的用户。

GEANT权限也要在授予的时候非常小心，因为它允许用户将他们的权限分享给其他用户。请确认在建立用户的时候，只授予他们从当连接的主机访问数据库的权限。我们还可以通过在HOST表中使用IP地址而不是域名来提高安全性。这可以在DNS位置避免错误问题或者黑客入侵。可能通过启动MySQL后台程序--skip-name-resolve选项加强它，该选项的意思是所有主机列的值必须是IP地址或本机主机。

此外，还应该防止非管理员用户访问WEB服务器中的mysqladmin程序。因为这是从命令行运行的，它是操作系统权限的问题。

4、WEB问题

当连接MYSQL数据库到网络的时候，一些特殊的安全问题就出现了。建立一个专门用于网络连接的用户是一个不错的主意。这样可以授予他们必要的、最少的权限，不给用户一些重要的权限，例如DROP、ALTER、CAREATE权限。此外，这还是如何应用最少权限原则的例证。

应该经常检查来自用户的所有数据。即使HTML表单中由选项框和按钮组成，一些人还是可能通过企图修改URL以进入脚本。如果用户输入的密码或机密数据需要保存在数据库中，请注意，如果不使用SSL，这些数据将以纯文本的方式从浏览器传递到服务器。