Maison >base de données >phpMonAdmin >Que dois-je faire si le répertoire phpmyadmin n'est pas sécurisé ?
Solutions au répertoire phpmyadmin dangereux : 1. Modifiez le nom du répertoire phpMyAdmin ; 2. Ajoutez l'authentification de l'utilisateur au répertoire phpMyAdmin ; 3. Ajoutez un contrôle d'accès basé sur l'hôte
Solution au répertoire phpmyadmin non sécurisé :
1. Modifiez le nom du répertoire phpMyAdmin :
Sans modifier le répertoire. nom, il est facile pour d'autres d'avoir un aperçu du nom du répertoire, ce qui entraîne des risques de sécurité. Par exemple, en supposant que le nom de domaine d'un hôte Linux soit : Client Validation, alors sans changer le nom du répertoire, saisissez : Client Validation dans la barre d'adresse et vous entrerez dans le programme de gestion phpMyAdmin. Par conséquent, si vous renommez le répertoire phpMyAdmin en un répertoire qui n'est pas facile à connaître pour les autres, tel que mynameadmin, alors lorsque vous gérez votre propre base de données, il vous suffit de taper : Client Validation pour gérer la base de données via le navigateur. (Remarque : le nom du répertoire phpMyAdmin sera toujours utilisé ci-dessous. Si le nom du répertoire a été modifié, renommez simplement phpMyAdmin avec le nouveau nom du répertoire.)
2. Ajoutez l'authentification de l'utilisateur au répertoire phpMyAdmin :
Il s'agit d'une méthode couramment utilisée lorsque de nombreux sites Web nécessitent une vérification de l'utilisateur. De cette façon, lorsque l'utilisateur navigue et entre dans le répertoire pour la première fois, une fenêtre d'invite apparaîtra, l'invitant à saisir le nom d'utilisateur. et un mot de passe pour la vérification. Cela se fait en utilisant Il est implémenté par le module standard mod_auth
du serveur Apache. La méthode de fonctionnement spécifique est la suivante :
1. VI modifiez le fichier de configuration du serveur Apache et assurez-vous. qu'il n'y a aucun commentaire dans les deux phrases suivantes du fichier. S'il y a un "" avant ces deux phrases, le symbole #, supprimez le signe "#".
DocumentRoot /data/web/apache/public/htdocs AccessFileName . htaccess AllOerride All
2. Le programme passwd crée un fichier utilisateur :
htpasswd - c /data/web/apache/secrects/.htpasswd 88998
Parmi eux, -c
signifie que l'option indique à htpasswd que vous souhaitez générer un nouveau fichier utilisateur , /data/web/apache/secrects/
est le répertoire dans lequel vous souhaitez stocker le fichier .htpasswd
.htpasswd
88998
est le nom d'utilisateur utilisé pour la vérification. Après avoir tapé la commande ci-dessus, le système vous invite à saisir un mot de passe. le mot de passe est ce qui est nécessaire pour la vérification du mot de passe, qui est crypté dans le fichier .htpasswd. Utilisez maintenant more pour afficher le fichier /data/web/apache/secrects/.htpasswd. Vous pouvez voir qu'il y a une ligne de nom d'utilisateur et une chaîne de mots de passe cryptés.
3. Créez le fichier .htaccess
:
Utilisez un éditeur de texte pour créer un fichier .htaccess dans le répertoire phpMyAdmin (s'il a été renommé, ce sera le nouveau nom du répertoire) , et ajoutez ce qui suit au fichier Statement :
AuthName "用户验证" AuthType Basic AuthUserFile /data/web/apache/public/htdocs/phpMyAdmin/.htpasswd require user 88998
Après avoir enregistré l'opération, accédez au répertoire phpMyAdmin. Une fenêtre de vérification s'affichera. Entrez le nom d'utilisateur et le mot de passe que vous venez de créer avec le. Commande htpasswd pour accéder au répertoire.
3. Ajouter un contrôle d'accès basé sur l'hôte :
Après avoir modifié le nom du répertoire et ajouté un mécanisme de vérification d'accès, il faut dire que le phpMyAdmin actuel est très sûr, mais comme le répertoire phpMyAdmin n'est généralement utilisé que par les administrateurs de base de données, afin d'empêcher les autres de connaître le nom du répertoire et le mot de passe de vérification, vous pouvez également ajouter le contrôle d'accès basé sur l'hôte suivant. en vérifiant l'adresse IP de la machine de l'utilisateur, c'est-à-dire que seules les adresses IP qui remplissent les conditions peuvent interroger le répertoire, sinon l'accès est refusé.
Modifiez le fichier .htaccess
comme suit :
AuthName "用户验证" AuthType Basic AuthUserFile /data/web/apache/public/htdocs/phpMyAdmin/.htpasswdrequire user 88998 order deny,allow deny from all allow from 202.100.222.80
Trois instructions de contrôle d'accès basées sur l'hôte sont ajoutées ici. La valeur de l'instruction de premier ordre est une liste séparée par des virgules. La deuxième commande deny définit l'hôte qui ne peut pas accéder au répertoire. La troisième commande permit définit l'hôte qui peut accéder au répertoire, à l'exception de la machine avec l'adresse IP 202.100. 222.80. À part cela, personne d'autre ne peut y accéder. Les lecteurs peuvent utiliser cette adresse comme adresse IP de l'administrateur de la base de données utilisateur.
Résumé : En combinant les trois points ci-dessus, la sécurité du répertoire phpMyAdmin peut être bien assurée. Il sera difficile pour les non-administrateurs de base de données de lire les données via le programme phpMyAdmin. Ce dont nous parlons ici concerne le répertoire phpMyAdmin. Si vous devez ajouter des restrictions d'accès à d'autres répertoires, vous pouvez également suivre cette méthode.
Recommandations de didacticiels associées : phpmyadmin
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!