我們曾經(jīng)為大家介紹了建立Discuz!論壇的方法,雖然整個建立過程非常簡單���,我們也可以通過這個論壇發(fā)表留言���,回復(fù)帖子。但是通過該方法建立的Discuz!論壇卻存在著一個安全(服務(wù)器租用找:51033397)隱患�。這個安全(服務(wù)器租用找:51033397)隱患并不是由Discuz!自身帶來的,幾乎所有使用mysql數(shù)據(jù)庫的論壇都會出現(xiàn)此問題��。今天就為各位讀者介紹如何彌補此問題�,讓所有使用mysql數(shù)據(jù)庫的論壇安全(服務(wù)器租用找:51033397)性更高。當然在這里還要強調(diào)的一點是���,數(shù)據(jù)庫默認密碼是空存在于所有使用mysql數(shù)據(jù)庫的論壇中���,并不是僅僅在Discuz!論壇中存在。只是因為使用Discuz!論壇的用戶比較多�����,所以本文才用他舉例進行介紹�����。
一��、問題根源:
一般來說我們安裝的mysql默認密碼是空的���,任何黑客都可以通過這個空密碼連接數(shù)據(jù)庫����,從而將mysql數(shù)據(jù)庫內(nèi)容全部竊取�����。由于論壇主程序調(diào)用的是mysql數(shù)據(jù)庫文件�����,所以數(shù)據(jù)庫文件中存放的是論壇所有注冊會員的資料信息以及所有論壇留言帖子信息。因此保護mysql數(shù)據(jù)庫文件是保證論壇安全(服務(wù)器租用找:51033397)的基礎(chǔ)�。
二、通過phpmyadmin管理mysql:
默認管理mysql數(shù)據(jù)庫的程序是名為phpmyadmin的組件�,他是由PHP語言編寫而成的。當我們建立好論壇后可以通過瀏覽器訪問http://localhost/phpmyadmin/這個地址���。(如圖1)
 |
| 圖1 |
初次登錄phpmyadmin我們看到的是英文界面���,可以通過右邊的下拉菜單選擇Chinese simplified(zh)修改為中文簡體。
我們可以通過phpmyadmin對mysql數(shù)據(jù)庫進行添加新數(shù)據(jù)庫文件����,給某個數(shù)據(jù)庫添加新表,給某個表添加新的鍵值等操作����。也可以設(shè)置數(shù)據(jù)庫訪問權(quán)限,導(dǎo)出和備份數(shù)據(jù)庫����。總之對于mysql數(shù)據(jù)庫的所有操作都可以通過phpmyadmin進行�����。
接下來就告訴大家如何彌補默認數(shù)據(jù)庫空密碼的漏洞,為我們的論壇加把牢靠的鎖�。
第一步:將phpmyadmin修改為簡體中文后我們會發(fā)現(xiàn)下方會出現(xiàn)“您配置文件中的設(shè)定與MYSQL默認權(quán)限帳戶(沒有密碼的ROOT)。您的MYSQL億恩科技服務(wù)器使用默認值運行當然沒有問題�,不過這樣的話���,被入侵的可能性會很大��,您真的應(yīng)該先補上這個安全(服務(wù)器租用找:51033397)漏洞”的提示�����,說明我們的數(shù)據(jù)庫密碼為空����。(如圖2)
 |
| 圖2 |
第二步:這時我們應(yīng)該先搜索本地計算機���,查找一個名為config.inc.php的文件���。(如圖3)
 |
| 圖3 |
小提示:也許你在搜索本地計算機時會找到很多個config.inc.php文件,這個是正常的����,我們只需要編輯位于phpmyadmin目錄下的那個即可�。
第三步:使用記事本編輯此文件�����,打開該文件后會發(fā)現(xiàn)里頭有很多內(nèi)容���。(如圖4)
 |
| 圖4 |
第四步:通過記事本的查找功能找到“$cfg[’servers’][’password’]這個字符串�。這個字符串后頭接的就是我們phpmyadmin連接MYSQL數(shù)據(jù)庫時使用的密碼��,我們?yōu)槠涮砑右粋密碼����。例如加上111111。(如圖5)
 |
| 圖5 |
第五步:不要以為僅僅修改這么一個地方就可以大功告成了���,因為我們修改了phpmyadmin連接MYSQL數(shù)據(jù)庫時使用的密碼���,所以再次訪問phpmyadmin時就會收到數(shù)據(jù)庫無法訪問的提示。(如圖6)
 |
| 圖6 |
第六步:接下來就是要修改數(shù)據(jù)庫的真正密碼�����,只有把真正密碼也修改為111111才能保證phpmyadmin正常連接該數(shù)據(jù)庫,方法是在命令行模式中進入mysql下的bin目錄���,如果使用億恩科技服務(wù)器套件進行安裝的話該目錄為d:\usr\local\mysql\bin�。進入bin目錄輸入mysqladmin -u root -p password 111111來修改數(shù)據(jù)庫的自身密碼��,然后會要求你輸入原來的密碼��,由于以前密碼是空所以直接回車即可�����,從而完成了對數(shù)據(jù)庫密碼的修改工作����。(如圖7)
 |
| 圖7 |
第七步:我們又可以通過瀏覽器訪問http://localhost/phpmyadmin/來調(diào)用MYSQL數(shù)據(jù)庫了���。(如圖8)
 |
| 圖8 |
第八步:然而此時瀏覽器中輸入http://127.0.0.1卻沒有出現(xiàn)Discuz!論壇主界面���,主要原因是Discuz!論壇中還需要對數(shù)據(jù)庫密碼的訪問進行修改設(shè)置。(如圖9)
 |
| 圖9 |
第九步:通過尋找Discuz!論壇主程序中的名為config.inc文件并編輯他來修改Discuz!連接數(shù)據(jù)庫的密碼�����。我們直接查找$dbpw關(guān)鍵字即可,將其后頭的密碼修改為111111���。(如圖10)
 |
| 圖10 |
第十步:只有將mysql數(shù)據(jù)庫自身密碼����,phpmyadmin連接數(shù)據(jù)庫的連接密碼還有Discuz!論壇自身調(diào)用數(shù)據(jù)庫時使用的密碼這三者都進行修改并統(tǒng)一�,才能保證論壇的正常訪問,數(shù)據(jù)庫的正常管理���。(如圖11)
 |
| 圖11 |
第十一步:再次訪問phpmyadmin后剛才出現(xiàn)的“您配置文件中的設(shè)定與MYSQL默認權(quán)限帳戶(沒有密碼的ROOT)���。您的MYSQL億恩科技服務(wù)器使用默認值運行當然沒有問題,不過這樣的話��,被入侵的可能性會很大���,您真的應(yīng)該先補上這個安全(服務(wù)器租用找:51033397)漏洞”的提示消失了�����。說明我們的論壇與數(shù)據(jù)庫得到了有效的保護����,外來人再也不能使用空密碼隨便連接數(shù)據(jù)庫了。(如圖12)
 |
|
圖12
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
