如何通过phpEnv数据库防攻击设置有效防止MySQL遭受暴力破解攻击?
- 内容介绍
- 文章标签
- 相关推荐
本文共计950个文字,预计阅读时间需要4分钟。
phpEnv 的 MySQL 默认配置有多危险
打开 phpEnv 安装目录下的 mysql\my.ini,你大概率会看到:
[mysqld] port=3306 bind-address=0.0.0.0 skip-networking=OFF
这意味着:
-
bind-address=0.0.0.0:MySQL 监听所有网卡,局域网内任意机器都能连上 3306 端口 - root 用户默认空密码或弱密码(如
root),且host='%'允许从任意 IP 登录 - MySQL 8.0+ 的
FAILED_LOGIN_ATTEMPTS功能默认未启用,5.7 及更早版压根不支持账号级锁定 - 没有 fail2ban、没开错误日志审计、没配防火墙规则——攻击者爆破时你毫无感知
必须改的三项 MySQL 配置(my.ini)
编辑 mysql\my.ini,在 [mysqld] 段下强制覆盖以下三项:
立即学习“PHP免费学习笔记(深入)”;
-
bind-address=127.0.0.1:只允许本地程序(如 phpEnv 自带的 PHP)连接,彻底断掉局域网/公网直连可能 -
skip-networking=ON:双重保险,显式关闭 TCP/IP 连接(注意:这会让 MySQL 客户端工具如 Navicat 无法直连,需改用 SSH 隧道或本地 socket) -
require_secure_transport=ON:MySQL 8.0+ 必加,强制所有连接走 SSL(若你没配证书,此项会拒绝非 SSL 连接,配合 bind-address 使用更稳妥)
改完重启 MySQL 服务。验证是否生效:netstat -ano | findstr :3306 应只显示 127.0.0.1:3306,不再出现 0.0.0.0:3306。
立刻清理 phpEnv 默认用户与权限
phpEnv 初始化后,MySQL 里通常有多个高危账号。登录 MySQL(mysql -u root -p),执行:
USE mysql; DELETE FROM user WHERE user='' OR host!='localhost' OR user='root' AND host!='localhost'; FLUSH PRIVILEGES;
然后重置 root 密码并限定来源:
- MySQL 8.0+:
ALTER USER 'root'@'localhost' IDENTIFIED WITH caching_sha2_password BY '你的强密码'; - MySQL 5.7:
SET PASSWORD FOR 'root'@'localhost' = PASSWORD('你的强密码'); - 再执行
SELECT user, host FROM mysql.user;,确认只剩root@localhost和mysql.session@localhost等系统账号
别信 phpEnv 界面里“修改密码”按钮——它常只改了配置文件里的连接参数,没真正改 MySQL 内部账号密码。
为什么不能只靠 PHP 层限频来防 MySQL 暴力破解
phpEnv 是环境包,不是 Web 应用。它的 MySQL 是独立服务,**PHP 层的 Redis 限频、验证码、中间件拦截,对直接连 3306 端口的 Hydra 攻击完全无效**。攻击者根本不需要访问你的 PHP 页面,只要知道 IP+端口,就能用 mysql -h 192.168.x.x -u root -p 或 Hydra 直接打库。
真正起效的只有三层:
- 网络层:通过
bind-address和防火墙(Windows Defender 防火墙)封死 3306 入站 - MySQL 层:删掉所有非
localhost账号,root 强密码,禁用旧认证插件 - 系统层:若你真需远程管理(比如用 Navicat 查看数据),必须走 SSH 隧道或内网跳板机,而不是放开 3306
最后提醒一句:phpEnv 本质是本地调试工具。一旦你把它部署到云服务器或公司内网供多人访问,就等于把开发环境当生产环境用——防不住暴力破解只是时间问题。
本文共计950个文字,预计阅读时间需要4分钟。
phpEnv 的 MySQL 默认配置有多危险
打开 phpEnv 安装目录下的 mysql\my.ini,你大概率会看到:
[mysqld] port=3306 bind-address=0.0.0.0 skip-networking=OFF
这意味着:
-
bind-address=0.0.0.0:MySQL 监听所有网卡,局域网内任意机器都能连上 3306 端口 - root 用户默认空密码或弱密码(如
root),且host='%'允许从任意 IP 登录 - MySQL 8.0+ 的
FAILED_LOGIN_ATTEMPTS功能默认未启用,5.7 及更早版压根不支持账号级锁定 - 没有 fail2ban、没开错误日志审计、没配防火墙规则——攻击者爆破时你毫无感知
必须改的三项 MySQL 配置(my.ini)
编辑 mysql\my.ini,在 [mysqld] 段下强制覆盖以下三项:
立即学习“PHP免费学习笔记(深入)”;
-
bind-address=127.0.0.1:只允许本地程序(如 phpEnv 自带的 PHP)连接,彻底断掉局域网/公网直连可能 -
skip-networking=ON:双重保险,显式关闭 TCP/IP 连接(注意:这会让 MySQL 客户端工具如 Navicat 无法直连,需改用 SSH 隧道或本地 socket) -
require_secure_transport=ON:MySQL 8.0+ 必加,强制所有连接走 SSL(若你没配证书,此项会拒绝非 SSL 连接,配合 bind-address 使用更稳妥)
改完重启 MySQL 服务。验证是否生效:netstat -ano | findstr :3306 应只显示 127.0.0.1:3306,不再出现 0.0.0.0:3306。
立刻清理 phpEnv 默认用户与权限
phpEnv 初始化后,MySQL 里通常有多个高危账号。登录 MySQL(mysql -u root -p),执行:
USE mysql; DELETE FROM user WHERE user='' OR host!='localhost' OR user='root' AND host!='localhost'; FLUSH PRIVILEGES;
然后重置 root 密码并限定来源:
- MySQL 8.0+:
ALTER USER 'root'@'localhost' IDENTIFIED WITH caching_sha2_password BY '你的强密码'; - MySQL 5.7:
SET PASSWORD FOR 'root'@'localhost' = PASSWORD('你的强密码'); - 再执行
SELECT user, host FROM mysql.user;,确认只剩root@localhost和mysql.session@localhost等系统账号
别信 phpEnv 界面里“修改密码”按钮——它常只改了配置文件里的连接参数,没真正改 MySQL 内部账号密码。
为什么不能只靠 PHP 层限频来防 MySQL 暴力破解
phpEnv 是环境包,不是 Web 应用。它的 MySQL 是独立服务,**PHP 层的 Redis 限频、验证码、中间件拦截,对直接连 3306 端口的 Hydra 攻击完全无效**。攻击者根本不需要访问你的 PHP 页面,只要知道 IP+端口,就能用 mysql -h 192.168.x.x -u root -p 或 Hydra 直接打库。
真正起效的只有三层:
- 网络层:通过
bind-address和防火墙(Windows Defender 防火墙)封死 3306 入站 - MySQL 层:删掉所有非
localhost账号,root 强密码,禁用旧认证插件 - 系统层:若你真需远程管理(比如用 Navicat 查看数据),必须走 SSH 隧道或内网跳板机,而不是放开 3306
最后提醒一句:phpEnv 本质是本地调试工具。一旦你把它部署到云服务器或公司内网供多人访问,就等于把开发环境当生产环境用——防不住暴力破解只是时间问题。