首先,我是一个sa而非developer,网站被乌云(wooyun.org)发现有可被sql注入的安全漏洞,问题标签是"数据库账户权限过高"。环境是windows 2003 + IIS 6.0,php + mysql。因为mysql使用的比较少,安装好后也没有怎么配置过,只是改了root的密码和根据网站程序的要求建立的相应的账户,给该账户赋予对网站数据库的增删改查权限,且该账户仅能通过本地连接访问数据库。根据wooyun上面的提示是数据库账户权限过高,但网站的确有增删改查的功能,所有数据库账户也必须要赋予相应的权限才行。现已被SQL注入,是否为时已晚,庆幸的是hacker还未对数据库进行更改,小弟平时少逛坛子分数不多就这些了全部奉上,求这次问题的解决方案以及web服务器安全加固的建议。
要先检查一下php脚本中的SQL注入漏洞先。
1、php应用程序问题过滤不严谨。
2、操作系统本身安全
3、数据库安全
4、网络安全。
多方面不是单纯一方面。
首要的是要考虑应用层. 后边的就是众SA操心的事了。