连接 mysql 服务器

• 本地服务器：mysql -u root -p

• 远程服务器：mysql -h remote_host -u username -p

mysql的数据安全性控制

设置仅允许受信任的主机连接到mysql数据库

1. 登录到MySQL：使用MySQL的管理员用户（通常是root）登录到MySQL服务器。

   mysql -u root -p

2. 创建数据库用户：如果没有已经创建的用户，可以使用以下命令创建一个新用户。将username和password替换为所需的用户名和密码。

   CREATEUSER'username'@'localhost' IDENTIFIED BY'password';

   这将创建一个只能从本地连接到MySQL的用户。如果需要从其他主机连接，需要修改 'localhost' 部分。

3. 授权用户：现在，将权限授予这个用户，使其可以连接到数据库。如果你只希望这个用户能够连接到特定的数据库，使用以下命令：

   GRANTALL PRIVILEGES ON your_database_name.*TO'username'@'localhost';

   如果你希望允许从特定IP地址的主机连接，将 'localhost' 更改为要允许连接的主机的IP地址或主机名，例如：

   GRANTALL PRIVILEGES ON your_database_name.*TO'username'@'192.168.1.100';

   如果你要允许从任何主机连接，可以使用通配符'%'：

   GRANTALL PRIVILEGES ON your_database_name.*TO'username'@'%';

4. 刷新权限：在更改了访问控制后，需要刷新MySQL的权限以使更改生效。

   FLUSH PRIVILEGES;

5. 退出MySQL：

   exit;

现在，只有在受信任的主机或IP地址上，使用给定的用户名和密码才能连接到MySQL数据库。确保你的MySQL服务器的端口（默认是3306）对于不受信任的主机是关闭的或不可访问的，以增加安全性。这有助于保护数据库免受未经授权的访问。

sql注入攻击

就是在输入框中输入机器语言，使得识别一直为true，绕过校验。

可以通过在接口的查询语句中，设置输入参数化，不直接使用输入内容，将输入内容赋予参数，这个过程中解析参数会过滤掉机器语言。

SQL注入攻击是一种常见的网络安全威胁，攻击者试图通过在应用程序中插入恶意SQL代码来访问或修改数据库中的数据。以下是一个简单的SQL注入攻击示例：

假设你有一个基于Web的应用程序，用于用户身份验证，其中包含以下PHP代码：

$username = $_POST['username']; $password = $_POST['password']; $query = "SELECT * FROM users WHERE username='$username' AND password='$password'"; $result = mysqli_query($conn, $query); if ($result) { // 认证成功// 允许用户登录 } else { // 认证失败// 拒绝访问 }

这个应用程序使用用户提供的用户名和密码来查询数据库以进行身份验证。然而，它存在严重的SQL注入漏洞，因为它直接将用户输入（$username和$password）插入到SQL查询中，而不进行适当的过滤和验证。

攻击者可以通过输入恶意的用户名和密码来利用这个漏洞，例如：

Username: ' OR '1'='1 Password: ' OR '1'='1

在这种情况下，构造的SQL查询变成了：

SELECT*FROM users WHERE username=''OR'1'='1'AND password=''OR'1'='1'

由于 '1'='1' 始终为真，所以这个SQL查询会返回所有用户的记录，使攻击者成功绕过身份验证。

为了防止SQL注入攻击，应该使用参数化查询或预处理语句来构建SQL查询，如下所示：

$username = $_POST['username']; $password = $_POST['password']; $query = "SELECT * FROM users WHERE username=? AND password=?"; $stmt = mysqli_prepare($conn, $query); mysqli_stmt_bind_param($stmt, "ss", $username, $password); mysqli_stmt_execute($stmt); $result = mysqli_stmt_get_result($stmt); if ($result) { // 认证成功// 允许用户登录 } else { // 认证失败// 拒绝访问 }

使用参数化查询或预处理语句将用户输入与SQL查询分开，从而有效地防止了SQL注入攻击。在这种情况下，不再允许攻击者插入恶意SQL代码来绕过身份验证。

MySQL访问控制：在MySQL中配置访问控制列表（ACL），限制允许连接到数据库的IP地址或主机名。 否则只要有正确的用户名、密码和数据库名字以及mysql所在服务器的IP地址就可以连接成功。

监控和审计：定期监控数据库活动和日志，设置报警阈值，以检测异常行为。