Per impostazione predefinita, la maggior parte dei server di database fornisce solo accesso locale (ad esempio utente @ localhost). Senza un'applicazione web, nessuna quantità di indentazione della password o di pubblicazione HTTP con sql-iniettata consentirà a un utente malintenzionato di accedere al database.
Le applicazioni Web ospitate sulla stessa macchina generalmente si collegano al database tramite l'IP o il dominio di loopback locale e accettano le richieste HTTP dalla rete. Quindi un'applicazione web fornisce un vettore di attacco per il tuo database. Più app ospitate sono state collegate al tuo database (Wordpress, Drupal, phpmyadmin, ecc.), Maggiore è il rischio che il database possa essere sfruttato.
In particolare, PHPMyAdmin è un grande obiettivo per un utente malintenzionato perché una singola combinazione di nome utente / password può fornire un accesso completo e senza restrizioni a tutti i database sul server MySQL. La maggior parte delle applicazioni Web richiede solo la connessione a un singolo database con un utente non privilegiato.