phpMyAdmin的认证问题是我刚刚接触到php的时候就开始关注的问题,对于有些网站,直接输入网址http://****/phpMyAdmin,就找到phpMyAdmin的路径了,再者,进入phpMyAdmin也不需要什么用户名,密码,很轻松就拿到了MySQL数据库,当然什么管理员用户名,密码用md5破解就可以拿到了,因此这个问题暴露出来的安全问题也应该引起广大php用户的注意了。

在提到解决方法的时候,大家首先应该先了解下phpMyAdmin的三种认证方式:phpmyadmin的三种认证方式config,cookie和http

config认证是在配置文件中直接写好访问数据库的用户名和密码,访问者可以直接访问到数据库。

cookie认证是在用户访问时需要手动输入用户名和密码。

另外一种方式是http认证。这种方式给访问者感觉上看类似cookie。 但是它实际上利用了php的http认证机制,这种机制只有php以Apache方式模块运行时才有效。了解了phpMyAdmin的三种认证方式了,再谈解决方法就不难了,

一、改phpMyAdmin的文件目录,一般的管理员都会吧phpMyAdmin直接放到默认目录,例如:http://localhost/phpMyAdmin,这样的目录放置太容易猜解了,但如果把phpMyAdmin的目录改变的话,这样就可以很好的隐藏phpMyAdmin的路径,当然要注意在改变phpMyAdmin的路径是,关于一些配置文件里的参数也可能要进行相应的变动。

二、更改认证方式,phpMyAdmin的默认认证方式是config,这种方式访问不需要用户名和密码,为了提高安全性,我们建议最好改为cookie的认证方式,具体是在config.inc.php(用写字板打开)搜索$cfg['Servers'][$i]['auth_type'] 字段,然后将引号里面的config改为cookie,这样再次访问phpMyAdmin的时候就需要用户名和密码的验证了。

原文链接:http://hi.baidu.com/ccnuzxg/blog/item/f5ed0bb533fc34c936d3ca91.html

推荐另外一篇文章:phpMyAdmin安全配置