如果在散列函数中使用了附加信息(SALTS),则作为对已接受答案的参考而提供的 MySQL 文档不会提供任何信息(文档说使用散列函数是不可逆的)。
被盗物品是否SELECT Password FROM user容易受到查找表/彩虹表的影响?
编辑:是否有任何可公开获得的 mysql 用户表帐户的密码被“破解”?
答案1
mysql 密码未加盐。
我已经多次运行这个简单的测试,并且在许多不同的 mysql 服务器上都运行过。如果有任何加盐,我希望每次都看到不同的哈希值。但输出总是相同的。
mysql> select password('password');
+-------------------------------------------+
| password('password') |
+-------------------------------------------+
| *2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19 |
+-------------------------------------------+
1 row in set (0.02 sec)
由于它相对较弱。因此,作为一项安全预防措施,不允许任何人访问以获取用户数据库的副本非常重要。不要授予您不信任的用户读取权限。
还请记住,如果某人已经在 mysql 服务器上拥有本地 root 权限,那么 mysql 权限实际上并不重要。用户可以在禁用权限系统的情况下重新启动服务器。