开发者社区> 问答> 正文

提个关于安全性方面的建议

问题被三楼终结,此贴作废!



就是我用的是wordpress,


所有关于数据库的链接信息都写在网站根目录wp-config.php这个文件里,


相信很多其他程序的网站也都是把数据库的配置信息都写在一个文件里,


假如说我的网站失守了攻击者成功得到了wp-config.php这个数据库配置文件,


那么攻击者就可以通过登录 http://idb.rds.aliyun.com直接删除或者更改我的数据库,


能不能在 RDS或者iDB Cloud里面添加一个设置,就是只允许通过RDS才能访问或者登录 http://idb.rds.aliyun.com。那样的话攻击者就算得到了所有的数据库链接信息也不能动我的数据,因为他必须通过RDS控制台才能去接触到我的数据库。使用RDS控制台就需要在阿里云登录才行。

展开
收起
猫不会扑 2015-03-05 10:40:02 6230 0
4 条回答
写回答
取消 提交回答
  • 推荐回答:

    不知道我的理解对不对哈。

    其实如果访问iDB Cloud,如果没有登录阿里云官网,也是不允许登陆的,也会跳转到阿里云官网进行登陆后才能访问的,请您验证。

    另外,就目前来讲,还有一个限制是,用户只能登录自己所购买的实例,如果你输入一个别人的实例连接地址,即使数据库账号正确,也会提示这不是你本人的实例。

    不过就第2点限制,我们在考虑一些场景会放开,很多时候购买实例的人未必是真正使用实例的人,例如有些时候购买实例后会给一个项目组的所有同事去使用,因此我们也在考虑一些授权机制,或给实例的owner提供更多日志跟踪的功能。

    官方帮助文档地址:阿里云帮助中心

    更多参考: 阿里云官方(新用户需官网注册查看)

    2021-04-26 00:27:29
    赞同 展开评论 打赏
  • 一个程序员,欢迎骚扰!!!
    删除数据库 要有手机验证的
    2015-03-05 13:06:57
    赞同 展开评论 打赏
  • 回楼主猫不会扑的帖子
    不知道我的理解对不对哈。

      其实如果访问iDB Cloud,如果没有登录阿里云官网,也是不允许登陆的,也会跳转到阿里云官网进行登陆后才能访问的,请您验证。  

      另外,就目前来讲,还有一个限制是,用户只能登录自己所购买的实例,如果你输入一个别人的实例连接地址,即使数据库账号正确,也会提示这不是你本人的实例。

    不过就第2点限制,我们在考虑一些场景会放开,很多时候购买实例的人未必是真正使用实例的人,例如有些时候购买实例后会给一个项目组的所有同事去使用,因此我们也在考虑一些授权机制,或给实例的owner提供更多日志跟踪的功能。
    2015-03-05 11:21:57
    赞同 展开评论 打赏
  • Re提个关于安全性方面的建议
    @rds-pd

    -------------------------

    回2楼钟隐的帖子
    正解
    2015-03-05 10:42:19
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
代码未写,漏洞已出——谈谈设计不当导致的安全问题 立即下载
反思:移动平台应用软件行为管控机制 立即下载
微信客户端怎样应对弱网络 立即下载