WEB开发网
开发学院数据库MySQL Linux应用集成MySQL数据库访问技巧 阅读

Linux应用集成MySQL数据库访问技巧

 2008-02-17 15:50:57 来源:WEB开发网   
核心提示:安全性 在Web上创建以Web支持的应用有一些开发者需要考虑的问题,所有有关Web服务器上CGI程序的问题,Linux应用集成MySQL数据库访问技巧(2),例如Web服务器处理许可权和脚本方的输入检查,也仍然需要考虑, Tcl GDBI( Generic Database Interface)是用在本文中Tcl示例中

安全性

在Web上创建以Web支持的应用有一些开发者需要考虑的问题。所有有关Web服务器上CGI程序的问题,例如Web服务器处理许可权和脚本方的输入检查,也仍然需要考虑。

除此之外,维护数据库系统的安全性也很有必要。这涉及保护数据库服务器的许可权系统,以及使从数据库客户机到服务器的连接安全。

MySQL提供了深入的安全性系统,有人形容它是“高级但不标准”。MySQL允许根据用户名、客户机主机和要访问的数据库对客户机进行访问。要创建安全的系统,让所有用户使用强口令,不要给他们任何他们不是绝对需要的访问权。这包括表面上无害的特权,例如可以让用户查看所有正在运行的进程(包括更改其他用户口令的那些)的处理特权。最好的办法是以无特权的Unix用户运行服务器进程本身,这样如果一个数据库被泄露,也不至于击垮整个系统。 这与以用户nobody而非root用户运行httpd类似。 描述系统访问的表是作为单独的MySQL数据库存储的,可以由MySQL root用户更新。 请注意,MySQL服务器根据MySQL用户名授予特权,这些用户名与Unix用户名不同。不过,有一个MySQL root用户名,它对数据库有全部权限。 一旦服务器确定了连接客户机是谁,以及它们在尝试连接什么之后,就根据给定的一组权限来控制访问权。要防止访问表中主机名被DNS电子欺骗,可以输入所有主机的IP地址,或请求服务器将IP地址解析回原始主机名来使其他人截获DNS请求和回答更困难。

除了服务器访问表以外,与服务器的通信也必须很安全。从客户机登录到服务器上时,口令不以纯文本方式发送;不过所有后续 SQL 命令将以纯文本方式发送。为达到更高的安全性,使用ssh来设置端口转发。它将服务器和客户机之间的所有通信进行加密,防止有人在传输中观察它。来自客户机的数据发送到客户机本地机器中本地ssh服务器所侦听的端口上。它由本地ssh服务器使用,加密后发送给远程ssh服务器,由它进行解密并转发到MySQL服务器端口。

在实际中,最安全的方法是在 Web 服务器所在的机器上运行数据库服务器,并让由Web服务器产生的CGI脚本通过UNIX(本地)套接字与MySQL服务器进行通信。该设置可以让数据库管理员禁用所有与MySQL服务器的远程连接。如果Web和数据库服务器必须位于不同的机器上,加密它们之间的所有通信,或者将两台机器通过其自己专用的、物理上隔离的网络连接。只创建一个由Web服务器使用的用户帐户(除 root 用户外)以登录到数据库服务器。

由数据库驱动的网站是一些功能强大的工具,可以让开发者创建提供更新信息的动态站点,并让由客户机发起的更改在多个会话之间持续。后端数据库的使用对于管理电子贸易和其它应用的用户来说必不可少。通过使用可免费获得的软件,有可能建立由数据库驱动的站点,安全地将数据库连通性集成到站点现有的CGI体系结构中。

参考资料

您可以参阅本文在developerWorks全球站点上的英文原文.

有关最新新闻和文章,请访问MySQL主页。

在MySQL++上查找C++与MySQL的正式接口。

Tcl GDBI( Generic Database Interface)是用在本文中Tcl示例中的Tcl MySQL API。

详细了解用于加密 MySQL 客户机和服务器之间所有通信的Secure Shell (ssh)。它用在不可信网络(例如公共因特网任意部分)上进行的通信中。

上一页  1 2 

Tags:Linux 应用 集成

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接