数据库与服务器安全选项拾遗

作者：网络转载发布时间：[ 2013/12/26 14:59:31 ] 推荐标签：数据库

　　另外 super file 等管理权限后面不能加数据库，只能以这种形式授权
　　grant super on *.* to xxx@xxxxx;
　　而select等增删改查的权限，可以指定数据库来添加
　　grant select on pyt.* to ‘p1′@’localhost’;
　　其中低的权限是usage权限，相当于只有一个连接的权限。使用create user 建立的用户，默认为usage权限
　　但是此权限貌似有information_schema表的select权限，其中host为允许连接的主机名
　　CREATE USER 'username'@'host' IDENTIFIED BY 'password'
　　查询一个用户的权限只需要
　　CREATE USER 'username'@'host' IDENTIFIED BY 'password'
　　安全选项
　　mysql启动的时候，也有一些安全选项，可以起到提高mysql安全性的功能
　　具体可以看官方文档
　　http://dev.mysql.com/doc/refman/5.5/en/server-options.html#option_mysqld_allow-suspicious-udfs
　　死四个安全选项
　　http://database.51cto.com/art/201005/199939.htm
　　提高安全设置
　　http://www.mianwww.com/html/2009/02/2926.html
　　六个安全选项
　　http://news.zdnet.com.cn/zdnetnews/2008/0124/718026.shtml
　　关于安全的文档
　　http://dev.mysql.com/doc/refman/5.1/zh/database-administration.html
　　PHP
　　安全选项
　　Safe Mode
　　这个选项也是php常用的安全选项，开启他之后服务器会对文件读写，执行文件，改变php环境变量，文件包含等功能进行比较严格的限制。
　　文件读写
　　开启SafeMode之后，如果进行读写文件操作PHP检查当前用户是否是文件所有者，如果php被分配到一个比较低权限的账户，读写文件会比较困难。
　　以下这些函数会受到影响
　　chdir ， move_uploaded_file，　chgrp，　parse_ini_file，　chown，　rmdir，　copy，　rename，　fopen，　require，　highlight_file，　show_source，　include，　symlink，　link，　touch，　mkdir，　unlink
　　运行文件执行系统命令
　　在执行系统命令的时候，只有safe_mode_exec_dir这个文件夹下的程序可以被执行。执行的指令会发送给escapeshellcmd进行过滤。
　　受影响的函数
　　exec， shell_exec， passthru， system， popen
　　另外，重音符也会被禁止。
　　环境变量
　　改变环境变量的函数也会被禁止
　　putenv，set_time_limit， set_include_path
　　如果想设置安全模式下可以改变的环境变量，需要这样safe_mode_allowed_env_vars
　　文件包含
　　文件包含的话同样也是需要safe_mode_include_dir来设定目录
　　expose_php
　　这个安全选项，会防止response包中泄露PHP版本信息，比如包头信息中通常会包含
　　Server: Apache/1.3.33 (Unix) PHP/5.0.3 mod_ssl/2.8.16
　　OpenSSL/0.9.7c
　　但如果expose_php开启的话，PHP的版本信息将不包含在上面的头信息里。
　　AddType application/x-httpd
　　有的时候你可能会觉得php的后缀不过瘾，那么可以在httpd.conf 中找到 AddTYpe这行，添加可供解析的后缀名。
　　AddType application/x-httpd .html .htm .txt .asp
　　这种方法也可以用来留后门。
　　open_basedir
　　这个选项可以规定用户只可以访问规定目录内的文件，这个选项并不和safe mode冲突
　　disable_functions
　　这个选项可以用来禁用一些函数
　　disable_functions = eval
　　当然，同样的你能够使用 disable_classes 选项来关闭对一些类的访问。
　　magic_quotes_gpc
　　大家常说的加引号的选项。
　　display_errors
　　大家常说的显错，如果被关闭的话，那只能盲注啦~。也可以通过log_errors设置输出到文件。