Ho sentito che il DB con accesso URL (come con PHPmyadmin) sarebbe meno sicuro che senza tale accesso.
Non sono un esperto IS e non lavoro sul campo, ma non riesco a vedere come questo detto sia vero; Perché dovrebbe essere così importante? In ogni caso, chiunque può accedere al DB localmente per software come Workbench o Navicat, se ha le credenziali giuste ...
Non è necessariamente intrinsecamente meno sicuro, spesso praticamente .
In primo luogo, aggiungere più software aggiunge più cose che devi proteggere. Phpmyadmin ha avuto la sua parte di vulnerabilità , e ora devi preoccuparti di quelli oltre a quelli MySQL dovevi preoccuparti prima.
Una cosa abbastanza comune da fare con MySQL è limitare i privilegi degli account ad accettare solo gli accessi da una piccola whitelist di IP (per una piccola app, che può essere solo localhost). Ma non appena installi Phpmyadmin, hai fornito un proxy di sorta per l'accesso MySQL da ovunque - a meno che fai anche altri passaggi per bloccarlo .
Le interfacce Web come questa possono essere configurate in modo sicuro, ma aggiungono semplicemente un altro strumento amministrativo che è necessario proteggere; se impari come usare la riga di comando mysql su ssh, puoi eliminare un punto di ingresso per un utente malintenzionato.
Per impostazione predefinita, la maggior parte dei server di database fornisce solo accesso locale (ad esempio utente @ localhost). Senza un'applicazione web, nessuna quantità di indentazione della password o di pubblicazione HTTP con sql-iniettata consentirà a un utente malintenzionato di accedere al database.
Le applicazioni Web ospitate sulla stessa macchina generalmente si collegano al database tramite l'IP o il dominio di loopback locale e accettano le richieste HTTP dalla rete. Quindi un'applicazione web fornisce un vettore di attacco per il tuo database. Più app ospitate sono state collegate al tuo database (Wordpress, Drupal, phpmyadmin, ecc.), Maggiore è il rischio che il database possa essere sfruttato.
In particolare, PHPMyAdmin è un grande obiettivo per un utente malintenzionato perché una singola combinazione di nome utente / password può fornire un accesso completo e senza restrizioni a tutti i database sul server MySQL. La maggior parte delle applicazioni Web richiede solo la connessione a un singolo database con un utente non privilegiato.
Leggi altre domande sui tag databases