我已经将 PHP/mySQL 网站转移到其他 ISP。客户希望保护访问权限。我并不想更改管理员登录信息 - 那是使用 salt 编程的。
我正在考虑为他们创建一个具有管理员(而非 root)权限的新 u/p,并禁用其数据库中的 root 密码。
有谁发现这种方法存在问题吗?
非常感谢
答案1
为他们的数据库创建一个唯一的帐户是一个好主意,事实上我认为这应该对所有应用程序都这样做,因为如果一个应用程序被利用,其他应用程序和数据库之间的风险就有限。
但是,我认为通过禁用其数据库的根用户,您可能做得有点过分,只要用户有一个非常安全的密码,并且您不能通过远程 MySQL(端口 3306)访问,那么保留用户权限应该是可以的。
事实上,如果您需要添加/删除/修改用户权限等,保留根用户会非常有帮助。
基本上保留根用户,但是不要在应用程序或任何其他应用程序中使用它,它应该纯粹作为管理的“超级用户”。