我们公司最近接pipe了一个网站工作。 该网站充满了安全漏洞,我精心修补。
其中一个问题是,以前的开发者设置了phpMyAdmin,但不需要密码来访问它。 我可以通过FTP访问安装了phpMyAdmin的文件夹,但无法通过主机的控制面板访问数据库。 如何确保用于通过脚本访问数据库的密码也是用于通过phpMyAdmin访问数据库的密码。 这通常是通过htaccess完成还是有另一种方法?
TLDR:phpMyAdmin本地安装,但不需要密码即可。 我如何获得文件夹密码保护?
config.inc.php是phpMyAdmin的configuration文件。 您可能使用基于config的身份validation。
您可以将其更改为基于cookie的身份validation,这将允许您对存储在MySQL数据库中的用户名和密码进行身份validation。 在auth_type设置下指定。
您还必须指定blowfish_secret ,它被基于cookie的身份validation用于encryptioncookie中的密码。 在服务器开始指定之前,将它放在configuration的顶部。
$cfg['blowfish_secret'] = 'anythingShorterThan42(?)characters';