我们公司最近接手了一个网站的工作。该网站充满了安全漏洞,我正在煞费苦心地修补。
其中一个问题是,之前的开发人员设置了 phpMyAdmin,但不需要密码即可访问它。我可以通过 FTP 访问安装了 phpMyAdmin 的文件夹,但无法通过主机上的控制面板访问数据库。我如何确保通过脚本访问数据库时使用的密码与通过 phpMyAdmin 访问数据库时使用的密码相同。这通常是通过 htaccess 完成的,还是有其他方法?
TLDR:phpMyAdmin 已在本地安装,但无需密码即可访问。如何让文件夹受密码保护?
答案1
config.inc.php是 phpMyAdmin 的配置文件。您可能正在使用config的身份验证。
您可以将其更改为cookie基于身份验证,这将允许您根据存储在 MySQL 数据库中的用户名和密码进行身份验证。在auth_type设置下指定此项。
您还必须指定blowfish_secret,它由基于 cookie 的身份验证用来加密 cookie 中的密码。在服务器开始指定之前,将其放在配置的顶部附近。
$cfg['blowfish_secret'] = 'anythingShorterThan42(?)characters';