jim*_*ash 4 php mysql security encryption cryptography
如果Web服务器和数据库服务器位于不同的主机上,那么当您在PHP代码中使用mysql_connect时,黑客是否可以进行数据包嗅探或使用其他方法获取数据库用户名/密码?
是的mysql_connect()可以被嗅探.密码是"乱码",但这不会阻止攻击者.所有quires都以纯文本形式抛出,如果您正在嗅探TCP序列ID,则可以劫持经过身份验证的会话.
如果您担心此攻击,则必须使用MYSQL_CLIENT_SSL标志进行完全传输层加密.如果您通过互联网或其他不受信任的网络建立mysql连接,那么这是必要的.如果您通过localhost连接,则不需要这样做.
| 归档时间: |
|
| 查看次数: |
1393 次 |
| 最近记录: |