我听到的争论是“你不需要一个强大的 mysql 用户密码,因为为了使用它,他们已经可以访问你的服务器了。”我们讨论的是 4 位数密码,这是实时商业网站上的标准英语词典单词。
在不以我自己的知识和经验影响答案的情况下,我想向他们展示一些来自公正的第三方来源的回应。有人愿意就这个问题发表意见吗?编程/实践方面的答案将不胜感激。
答案1
提出这一论点的人似乎在说“一旦有人踏入大门,您不妨给予他们完全访问权限”。按照这种逻辑,防火墙消除了内部网络对所有密码的需求。
强密码是限制网络入侵造成的损害的一步。没有理由因为网络的一小部分被入侵而放弃。
答案2
这实际上可以追溯到“纵深防御'所以至少一个强密码可以减慢他们的速度,这样你就可以发现并阻止他们。我喜欢用一把钥匙打开一个封闭社区与每家每户的门各一把钥匙来类比。
答案3
这很大程度上取决于您的 MySQL 服务器的设置方式。如果它只接受来自主 IP(127.0.0.1)的请求,那么它确实会稍微更安全一些。
假设您允许远程 IP,那么这将成为一个更大的问题。
除此之外,在发生入侵时拥有强大的安全保障总是好的——最好是尽可能少地获取信息。
答案4
你不需要一个强大的 mysql 用户密码,因为为了使用它,他们已经可以访问你的服务器
事实并非如此,因为 mysql 也可以在跨网络客户端-服务器环境中使用,并且默认情况下,您唯一需要的只是用户/密码来访问数据库(当然,3306 端口打开并且服务器公开可见)。