为你的论坛加把锁——Discuz!篇(图)

一、问题根源：

    一般来说我们安装的mysql默认密码是空的，任何黑客都可以通过这个空密码连接数据库，从而将mysql数据库内容全部窃取。由于论坛主程序调用的是mysql数据库文件，所以数据库文件中存放的是论坛所有注册会员的资料信息以及所有论坛留言帖子信息。因此保护mysql数据库文件是保证论坛安全（服务器租用找：51033397）的基础。

二、通过phpmyadmin管理mysql：

    默认管理mysql数据库的程序是名为phpmyadmin的组件，他是由PHP语言编写而成的。当我们建立好论坛后可以通过浏览器访问http://localhost/phpmyadmin/这个地址。（如图1）

图1

    初次登录phpmyadmin我们看到的是英文界面，可以通过右边的下拉菜单选择Chinese simplified(zh)修改为中文简体。

    我们可以通过phpmyadmin对mysql数据库进行添加新数据库文件，给某个数据库添加新表，给某个表添加新的键值等操作。也可以设置数据库访问权限，导出和备份数据库。总之对于mysql数据库的所有操作都可以通过phpmyadmin进行。

接下来就告诉大家如何弥补默认数据库空密码的漏洞，为我们的论坛加把牢靠的锁。

    第一步：将phpmyadmin修改为简体中文后我们会发现下方会出现“您配置文件中的设定与MYSQL默认权限帐户（没有密码的ROOT）。您的MYSQL亿恩科技服务器使用默认值运行当然没有问题，不过这样的话，被入侵的可能性会很大，您真的应该先补上这个安全（服务器租用找：51033397）漏洞”的提示，说明我们的数据库密码为空。（如图2）

图2

    第二步：这时我们应该先搜索本地计算机，查找一个名为config.inc.php的文件。（如图3）

图3

    小提示：也许你在搜索本地计算机时会找到很多个config.inc.php文件，这个是正常的，我们只需要编辑位于phpmyadmin目录下的那个即可。

    第三步：使用记事本编辑此文件，打开该文件后会发现里头有很多内容。（如图4）

图4

    第四步：通过记事本的查找功能找到“$cfg[’servers’][’password’]这个字符串。这个字符串后头接的就是我们phpmyadmin连接MYSQL数据库时使用的密码，我们为其添加一个密码。例如加上111111。（如图5）

图5

    第五步：不要以为仅仅修改这么一个地方就可以大功告成了，因为我们修改了phpmyadmin连接MYSQL数据库时使用的密码，所以再次访问phpmyadmin时就会收到数据库无法访问的提示。（如图6）

图6

    第六步：接下来就是要修改数据库的真正密码，只有把真正密码也修改为111111才能保证phpmyadmin正常连接该数据库，方法是在命令行模式中进入mysql下的bin目录，如果使用亿恩科技服务器套件进行安装的话该目录为d:\usr\local\mysql\bin。进入bin目录输入mysqladmin -u root -p password 111111来修改数据库的自身密码，然后会要求你输入原来的密码，由于以前密码是空所以直接回车即可，从而完成了对数据库密码的修改工作。（如图7）

图7

    第七步：我们又可以通过浏览器访问http://localhost/phpmyadmin/来调用MYSQL数据库了。（如图8）

图8

    第八步：然而此时浏览器中输入http://127.0.0.1却没有出现Discuz!论坛主界面，主要原因是Discuz!论坛中还需要对数据库密码的访问进行修改设置。（如图9）

图9

    第九步：通过寻找Discuz!论坛主程序中的名为config.inc文件并编辑他来修改Discuz!连接数据库的密码。我们直接查找$dbpw关键字即可，将其后头的密码修改为111111。（如图10）

图10

    第十步：只有将mysql数据库自身密码，phpmyadmin连接数据库的连接密码还有Discuz!论坛自身调用数据库时使用的密码这三者都进行修改并统一，才能保证论坛的正常访问，数据库的正常管理。（如图11）

图11

    第十一步：再次访问phpmyadmin后刚才出现的“您配置文件中的设定与MYSQL默认权限帐户（没有密码的ROOT）。您的MYSQL亿恩科技服务器使用默认值运行当然没有问题，不过这样的话，被入侵的可能性会很大，您真的应该先补上这个安全（服务器租用找：51033397）漏洞”的提示消失了。说明我们的论坛与数据库得到了有效的保护，外来人再也不能使用空密码随便连接数据库了。（如图12）

图12