2010-09-07 14 views
5

El VPS que estaba usando solía tener la opción de preinstalación de phpMyAdmin pero la eliminaba indicando que presentaba un riesgo de seguridad. ¿Lo hace?phpMyAdmin presenta riesgo de seguridad en la producción

Si es así, ¿recomienda una alternativa para examinar DB en producción (que no sea ejecutar comandos SQL en la consola)?

+2

Recomendaría ejecutar comandos SQL en la consola. Es mucho más confiable que hacer clic en los botones de miles. –

Respuesta

13

Cualquier software adicional que se agrega a un sistema añade complejidad. La complejidad es enemiga de la seguridad.

Las webapps de PHP son notorias por la codificación descuidada y ciertamente phpMyAdmin ha tenido more than its share of security holes en el pasado. Ciertamente puedes mitigar el daño por ej. poner detrás de HTTPS un certificado de cliente, pero eso no evitará ataques de falsificación de solicitudes entre sitios.

Para una máquina de producción, preferiría quedarme en la consola.

6

Depende. Si puede obtener todo el acceso a PhpMyAdmin a través de SSL solamente y hacer cumplir la seguridad de las contraseñas en el sitio web, puede ser seguro.

De lo contrario, está abriendo todo su servidor de bases de datos al mundo en una vista limpia.

5

1) instalar phpMyAdmin clásico
2) agregar SSL a su phpmyadmin
3) añadir Htacess y protegerlo con una contraseña

+0

también puede agregar el filtrado de IP para acceder a directorios específicos de su dominio. – Eugene

2

Más software de terceros: más problemas que puede obtener. Mi recomendación es usar la consola mysql en vps y denegar las conexiones externas a mysql con derechos de root

2

Recomiendo configurar phpMyAdmin en su cuadro local. Luego configura un túnel ssh en tu caja de producción y reenvía el puerto de mysql a tu máquina local. Configure su phpMyAdmin local para conectarse a ese puerto reenviado.

Es decir, si realmente desea utilizar phpMyAdmin.

+0

En ese caso, también puede usar MySQL Workbench. Mejor incluso – Halfgaar

0

Definitivamente ha habido totalidades de seguridad en el pasado. Probablemente encontrará nuevos en el futuro. Siempre es un riesgo abrir ese tipo de herramienta para el espacio web público.

Recomiendo instalar el software de gestión de bases de datos y conectarlo a su DB de producción a través de un túnel SSH. Si estás en una Mac, instalaría Sequel Pro gratis. En otras plataformas, Navicat (y otro software similar) está disponible, pero cuesta dinero.

Cuestiones relacionadas