MYSQL数据库系统安全管理

目录正文1研究的背景22研究的目的和意义23研究的内容23.1 MySQL数据库的安全配置2系统内部安全2外部网络安全3.2 MySQL用户帐号管理 10.3.3 MD5 力口密1.5数据库中数据加密的原因 1.5.加密方式1.5.3.3.3 Md5 力口密原理1.6171.9.具体算法4总结参考文献：19附录:20MySQL数据库安全管理摘要：MySQL是完全网络化的跨平台关系型数据库系统，同时是具有客户机/服务器 体系结构的分布式数据库管理系统。它具有功能强、使用简便、管理方便、运行速度 快、安全可靠性强等优点，用户可利用许多语言编写访问 MySQL数据库的程序，特 别是与PHP更是黄金组合，运用十分广泛。由于MySQL是多平台的数据库，它的默 认配置要考虑各种情况下都能适用，所以在用户自己的使用环境下应该进行安全加 固。用户有责任维护MySQL数据库系统的数据安全性和完整性。关键词：MYSQL ；数据库；数据库安全；访问控制；MD5加密正文MySQL数据库的安全配置必须从两个方面入手，系统内部安全和外部网络安全；MySQL用户帐号管理主要用grant（授权）和revoke（撤权）两个SQL指令来管理； MD5在实际中的一个应用就是对数据库中的用户信息加密 ，当用户创建一个新的账号或者密码，他的信息不是直接保存到数据库，而是经过一次加密以后再保存，这样， 即使这些信息被泄露，也不能立即理解这些信息的真正含义。有效的提高了前台和后 台的数据安全性。1研究的背景随着计算机技术和信息技术的迅速发展 。数据库的应用十分广泛，深入到各个领 域，但随之而来产生了数据的安全问题。近年来，数据库供应商竞相为大众提供功能丰富的数据库环境 ，大多数主要系统 都支持XML、Web服务、分布式复制、操作系统集成以及其他一些有用的功能。与以 前相比，数据库更加容易遭受到攻击，它已经成为了更有价值的攻击目标，所以需要 配置更多的安全功能，管理也要更加的谨慎。2研究的目的和意义本文对MySQL数据库的安全配置、MySQL用户帐号管理以及使用 MD5加密提 高数据库前台和后台数据安全性做了详细研究 。由于MySQL是多平台的数据库，它的默认配置要考虑各种情况下都能适用 ，所 以用户需要根据具体的环境进行相关的安全配置 ，通过本文的研究，对如何提高数据 库的安全性有很大的帮助。3研究的内容3.1 MySQL数据库的安全配置系统内部安全MySQL安装好，运行了 mysql_db_install脚本以后就会建立数据目录和初始化数 据库。如果我们用MySQL源码包安装，而且安装目录是/usr/local/mysql ，那么数据 目录一般会是/usr/local/mysql/var 。数据库系统由一系列数据库组成，每个数据库包含一系列数据库表。MySQL是用数据库名在数据目录建立建立一个数据库目录，各数据库表分别以数据库表名作为文件名，扩展名分别为MYD、MYI、frm的三个文件 放到数据库目录中。MySQL的授权表给数据库的访问提供了灵活的权限控制，但是如果本地用户拥有对库文件的读权限的话，攻击者只需把数据库目录打包拷走，然后拷到自己本机的 数据目录下就能访问窃取的数据库。所以MySQL所在的主机的安全性是最首要的问 题，如果主机不安全，被攻击者控制，那么MySQL的安全性也无从谈起。其次就是 数据目录和数据文件的安全性，也就是权限设置问题。从MySQL主站一些老的binary发行版来看，版本中数据目录的属性是 775，这样非常危险，任何本地用户都可以读数据目录，所以数据库文件很不安全。 版本中数据目录的属性是 770，这种属性也有些危险，本地的同组用户既能读 也能写，所以数据文件也不安全。版本数据目录的属性是 700，这样就比较 好，只有启动数据库的用户可以读写数据库文件，保证了本地数据文件的安全。如果启动MySQL数据库的用户是mysql，那么像如下的目录和文件的是安全的， 请注意数据目录及下面的属性：shellls -l /usr/local/mysqltotal 40drwxrwxr-x 2 root root 4096 Feb 27 20:07 bindrwxrwxr-x 3 root root 4096 Feb 27 20:07 in cludedrwxrwxr-x 2 root root 4096 Feb 27 20:07 infodrwxrwxr-x 3 root root 4096 Feb 27 20:07 libdrwxrwxr-x 2 root root 4096 Feb 27 20:07 libexecdrwxrwxr-x 3 root root 4096 Feb 27 20:07 manshellls -l /usr/local/mysql/vartotal 8drwx2 mysql mysql 4096 Feb 27 20:08 mysqldrwx2 mysql mysql 4096 Feb 27 20:08 testshellls -l /usr/local/mysql/var/mysqltotal 104-rw1 mysql mysql 0 Feb 27 20:08 colu mn s_priv.MYD-rw1mysqlmysql1024Feb 27 20:08 colu mn s_priv.MYI-rw1mysqlmysql8778Feb 27 20:08 colu mn s_priv.frm-rw1 mysql mysql 302 Feb 27 20:08 db.MYD-rw1mysqlmysql3072Feb 27 20:08 db.MYI-rw1mysqlmysql8982Feb 27 20:08 db.frm-rw1 mysql mysql 0 Feb 27 20:08 fun c.MYD-rw1mysqlmysql1024Feb 27 20:08 fun c.MYI-rw1mysqlmysql8641Feb 27 20:08 fun c.frm-rw1 mysql mysql 0 Feb 27 20:08 host.MYD-rw1mysqlmysql1024Feb 27 20:08 host.MYI-rw1mysqlmysql8958Feb 27 20:08 host.frm-rw1 mysql mysql 0 Feb 27 20:08 tables_priv.MYD-rw1 mysql mysql 1024 Feb 27 20:08 tables_priv.MYI如果这些文件的属主及属性不是这样，请用以下两个命令修正之： shellchow n -R mysql.mysql /usr/local/mysql/var shellchmod -R go-rwx /usr/local/mysql/var用root用户启动远程服务一直是安全大忌，因为如果服务程序出现问题，远程攻 击者极有可能获得主机的完全控制权 。MySQL从版本开始时作了小小的改 动，默认安装后服务要用mysql用户来启动，不允许root用户启动。如果非要用root 用户来启动，必须加上-user=root 的参数(./safe_mysqld -user=root &)。因为 MySQL 中有 LOAD DATA INFILE和 SELECT . INTO OUTFILE勺 SQL语句，如果是 root 用户启动了 MySQL服务器，那么，数据库用户就拥有了 root用户的写权限。不过 MySQL还是做了一些限制的，比如LOAD DATA INFILE只能读全局可读的文件， SELECT . INTO OUTFILE不能覆盖已经存在的文件。本地的日志文件也不能忽视，包括shell的日志和MySQL自己的日志。有些用户 在本地登陆或备份数据库的时候为了图方便，有时会在命令行参数里直接带了数据库 的密码，女口：shell/usr/local/mysql/b in/mysqldump -uroot -ptest testtest.sql shell/usr/local/mysql/b in/mysql -uroot-ptest这些命令会被shell记录在历史文件里，比如bash会写入用户目录 的.bash_history文件，如果这些文件不慎被读，那么数据库的密码就会泄漏。用户登 陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。 如果数据库用户用SQL语句修改了数据库密码，也会因.mysql_history文件而泄漏。 所以我们在shell登陆及备份的时候不要在-p后直接加密码，而是在提示后再输入数 据库密码。另外这两个文件我们也应该不让它记录我们的操作，以防万一。shellrm .bash_history .mysql_historyshellIn -s /dev/null .bash_historyshellln -s /dev/null .mysql_history上门这两条命令把这两个文件链接到/dev/null ,那么我们的操作就不会被记录到这两 个文件里了。外部网络安全MySQL数据库安装好以后，Unix平台的user表是这样的：mysql use mysql ；Database cha ngedmysql select Host,User,Password,Select_priv,Gra nt_priv from user;H4“卄 4一一卄一+Host| User | Password | Select_priv | Grant_priv+ 4 j a 彳 ，&a s . * +|localhost|root|Y|Y|Izedhat|root|Y|Y|Ilocalhost|N|nI|jedhat|N|N|4d_44h+图3.1.2.1 Unix 平台的user表Windows平台的user表是这样的：mysql use mysql;Database cha ngedmysql select Host,User,Password,Select_priv,Gra nt_priv from user;iql select Host Jser,PassuordJelBCt_p?ivl.(irant_priu fh)n user；Host 1 User : Password； Select_priu : Srait_piriv ! localhost I not ! Jtfil F5E2iE3540?DB#4ft6CMft 731 ftfBFB6 ftf2 9JE1B I 1 VI z! raot 1喇FSE2iE?497D删也晞削曲F附陀妙iR I VI Vrows in sat (0.00 sec)图 3.122 Windows 平台的 user 表实际上Unix平台的MySQL默认只允许本机才能连接数据库。但是缺省root用户 口令是空，所以当务之急是给root用户加上口令。给数据库用户加口令有三种方法：在shell提示符下用 mysqladmin命令来改root用户口令：shellmysqladm in -uroot password test这样，MySQL数据库root用户的口令就被改成test 了。用 set password 修改口令:mysql set password for rootlocalhost=password(test);这时root用户的口令就被改成test 了。直接修改user表的root用户口令：mysql use mysql;mysql update user set password=password(test) where user=root;mysql flush privileges;这样，MySQL数据库root用户的口令也被改成test 了。其中最后一句命令flush privileges的意思是强制刷新内存授权表，否则用的还是缓冲中的口令，这时非法用 户还可以用root用户及空口令登陆，直到重启MySQL服务器。我们还看到user为空的匿名用户，虽然它在Unix平台下没什么权限，但为了安 全起见我们应该删除它：mysql delete from user where user=”；Windows版本MySQL的user表有很大不同，我们看到Host字段除了 localhost 还有是%。这里%的意思是允许任意的主机连接 MySQL服务器，这是非常不安全的， 给攻击者造成可乘之机，我们必须删除Host字段为的记录：mysqldelete from user where host=%;默认root用户的空密码也是必须修改，三种修改方法和Unix平台一样。对user 表操作以后不要忘了用flush privileges来强制刷新内存授权表，这样才能生效。MySQL 的 5 个授权表：user, db, host, tables_priv 和 columns_priv 提供非常灵活 的安全机制，从开始引入了两条语句 GRANT和REVOKE来创建和删 除用户权限，可以方便的限制哪个用户可以连接服务器，从哪里连接以及连接后可以做什么操作。在版本以前的MySQL授权机制不完善，和新版本也有较大的不同，建议 升级到最新版本的MySQL。我们先来了解授权表的结构。MySQL授权表的结构与内容：mysql desc user;user表是5个授权表中最重要的一个，列出可以连接服务器的用户及其加密口 令，并且它指定他们有哪种全局（超级用户）权限。在user表启用的任何权限均是全 局权限，并适用于所有数据库。所以我们不能给任何用户访问 mysql.user表的权限！ 权限说明：4-+I权限倚定料I列名+I松限播作I Select | Selectjiiiv |比询对表釣访问不对叛堀表进行访问的眈丄ect帝旬不受懿眄，比如utict L11I Insert I IH5trt_priv | 允许对 # Rinser tig 旬进行写人糜作.+I UpdateI Delete+I CceateI Uj）（late_prlv 尤件用ujniateiE句修改理屮现有记.录- j.I Delete_ptiv i尤许罩血ImteiS甸除卷中魂有记盘.I Cieatejiiu I允询注直霸的猥据库和震.I DropI Diopjiiw |尤许册除现有的数据澤和表.I Indesc+-I AltefI GcaitC4I ReloadI Rel口瘦也I indeujiiw 1允许创瑾、魁顽或则除箕引.iI Alter_prlv I尤件甬altetiS勺修故衷第初”1I Ur ano I iv I尤许搐自己拥有的杈隔瑾平耳它闱户.趣括粧弼仁I允许虫酸授枚表刷靳服券超等曲令.I Shutdown I Shudoim_piiT I AiFnyaqladmin shutdown酣母夾HTdySQL服务貉-该权限叱较危险，tIi不应该随便挠于.I+= = = = = = = = = = =+= = = = = =lb = = = = = = =-=-=, = = = = = = + t Ftocess | PEocessjmivj允许直石和烫止JiyKQL愿务誌正在运行的纽程逢根、以歷正在战讦的直询语句II File+1 也拒执行修敢逾码的宜询屈甸.懐权隈比犠堆碗.不应懐冏匱战于.4+I nie_pti I址许馱服碧謹上进全局可读玄件和肓丈件该桓限比较fit险.不应谡陆吨股手* I图3.123 权限说明mysql desc db;1Field1 Type Null 1Key1 Default 1 Extea 14-+-+-_+ . + -4-1Host1 char(60)binary11PRI1 111Db1 char64)binary11PRI1 111User1 char(1C)binaryI1FRI1tJ15elect_priv1 enum(lN/Y)1s1 H111Ins&Etpriv| enujt ( IT |111 N111Update_priv1 enux IT)111 w111Delete_priv1 enumITJ）j11 Nf11Create_priv1 enunITJf)ii1 N1i1Drop_priv1 entm(N*/Yl)II1 N1I1Grant_ptiv1 enum(lN1II1 N1I1References_priv1 enuui( lN1J*)ii1 NII1Index_priv1 enum(N1Jf)ii1 N1J1+Alter_privI enwa ( IT -+J）i+ 一一i-+-1 H1+i图3.124 数据库db表列出数据库，而用户有权限访问它们。在这里指定的权限适用于一个数据 库中的所有表。mysql desc host;+-4汁-+_十1 Field1 Type(Hull1 Key1Default 1Exti:a 1+”4+_+1 Hosti char (60) binaryIII PRI1111 Db1 char(64 binaryI1 PRI1111 Select jpriv1 enun( M1)I11N111 Insertjpriv1 enun(N 1Y)I1iH11 Updacejptiv1 enuB( N1 ,Y*)111K111 Delete_pi:iv1 enun( N,)111N111 Create_priv1 enuia( N f 1Y11N111 Drop_privI enum( N Y)11N111 GrarLtjprivI enum( N /Y*)111N111 RfefivI enum( JN /Y*)111N111 Index_privI enun( M /Y* )111N11| Altet_priv+-I enun( li f)-+111+11 |+-1h图 3.125 host 表host表与db表结合使用在一个较好层次上控制特定主机对数据库的访问权限，这可能比单独使用db好些。这个表不受GRANT和REVOKE语句的影响。3.2 MySQL用户帐号管理MySQL用户帐号管理主要用grant（授权）和revoke（撤权）两个SQL指令来管理。这两个指令实质是通过操作user（连接权限和全局权限 ）、db（数据库级权限）、tables_priv（数据表级权限）、columns_priv（数据列级权限）四个权限表来分配权限的。 host权限表不受这两个指令影响。下面将会详细介绍用户权限管理的内容。GRANT语法说明：GRANT privileges （columns） #privileges 表示授予的权限，columns 表示作用 的列（可选）ON what #设置权限级别，全局级、数据库级、数据表级和数据列级TO account#权限授予的用户，用user_namehost_name这种用户名、主机名格式IDENTIFIED BY password#设置用户帐号密码REQUIRE encryption requirements#设置经由 SSL连接帐号WITH grant or resource management options;#设置帐号的管理和资源（连接服务器次数或查询次数等）选项示例：mysqlgrant all on db.* to testlocalhost identified by test;上例运行后的效果是，test用户只能通过tes密码从本机访问db数据库mysqlgrant all on db.* to test% identified by test;上例运行后的效果是，test用户可通过tes密码从任意计算机上访问db数据库。i表任意字符，代表一个任意字符。主机名部份还可以是IP地址。表访问权限表权限权限说明CREATETEMPORARYTABLES创建临时数据表EXECUTE执行存储过程（暂不支持）FILE操作系统文件GRANT OPTION可把本帐号的权限授予其它用户LOCK TABLES锁疋指疋数据表PROCESS查看运行着的线程信息RELOAD重新加载权限表或刷新日志及缓冲区REPLICATION CLIENT可查询主/从服务器主机名REPLICATION SLAVE运行一个镜像从服务器SHOW DATABASES可运行SHOW DATABASES指令权限权限说明SHUTDOWN关闭数据库服务器SUPER可用kill终止线程以及进行超级用户操作ALTER可修改表和索引的结构CREATE创建数据库和数据表DELETE删除数据表中的数据行DROP删除数据表和数据行INDEX建立或删除索引INSERT插入数据行REFERENCES（暂时不支持）SELECT查询数据行UPDATE更新数据行ALL所有权限，但不包括GRANT。USAGE无权限权限表权限作用范围（由ON子句设置）权限限定符作用范围ON *.*全局级权限，作用于所有数据库ON *全局级权限，若未指定默认数据库，其作用范围是所 有数据库，否则，其作用范围是当前数据库权限限定符作用范围ON db_name.*数据库级权限，作用于指定数据库里的所有数据表ONdb_n ame.tbl_ name数据表级权限，作用于数据表里的所有数据列ON tbl_ name数据表级权限，作用于默认数据库中指定的数据表里的所有数据列USAGE权限的用法：修改与权限无关的帐户项，女口：mysqlGRANT USAGE ON * TO accou nt IDENTIFIED BY n ew_password; #修改密码mysqlGRANT USAGE ON * TO account REQUIRE SSL ;#启用 SSL连接mysqlGRANT USAGE ON *.* TO accou nt WITH MAX_CONNECTIONS_PER_HOUR 10；#设置资源拥有WITH GRANT OPTION权限的用户可把自已所拥用的权限转授给其他用户，如：mysqlGRANT ALL ON db.* TO test% IDENTIFIED BY password WITH GRANT OPTION ；这样test用户就有权把该权限授予其他用户。限制资源使用，女口：mysqlGRANT ALL ON db.* TO account IDENTIFIED BY password WITH MAX_CONNECTIONS_PER_HOUR 10 MAX_QUERIES_PER_HOUR 200 MAX_UPDATES_PER_HOUR 50;允许account用户每小时最多连接20次服务器，每小时最多发出200条查询命令 (其中更新命令最多为50条)默认都是零值，即没有限希9。 FLUSH USER_RESOURCE和FLUSH PRIVILEGE列 对资源限制计数器清零。REVOKE语法说明：mysqlREVOKE privileges (colu mns) ON what FROM accou nt；示例：mysqlREVOKE SELECT ON db.* FROM testlocalhost;删除test帐号从本机查询db数据库的权限REVOKE可删除权限，但不能删除帐号,即使帐号已没有任何权限。所以user数 据表里还会有该帐号的记录,要彻底删除帐号,需用DELETE命令删除user数据表的 记录，如：% mysql -u root -pmysqluse mysqlmysqlDELETE FROM user where User=test and Host=localhost ；mysql fulsh privileges ；REVOKE不能删除REQUIRE和资源占用的配置。他们是要用GRANT来删除的， 如：GRANT USAGE ON *.* TO account REQUIRE NONE ;#删除 account 帐号的SSL连接选项3.3 MD5加密数据库中数据加密的原因现在网络上一般的网站，稍微完善一点的，往往都需要用户先注册，提供诸如电 子邮件、账号、密码等信息以后，成为网站栏目的注册用户，才可以享受网站一些特 殊栏目提供的信息或者服务，比如免费电子邮件、论坛、聊天等，都需要用户注册。 而对于电子商务网站，比如igo5等大型电子商务网站，用户需要购买商品，就一定需 要详细而准确的注册，而这些信息，往往是用户很隐秘的信息，比如电话、电子邮 件、地址等，所以，注册信息对于用户和网站都是很重要的资源 ，不能随意透露，更 加不能存在安全上的隐患。一般将用户资料直接保存在数据库中，并没有进行任何的保密措施，对于一些文 件型数据库比如Access等，如果有人得到这个文件，岂不是所有的资料都泄露无疑？ 更加重要的是，如果一个不负责任的网管，不需要任何技术手段，就可以查看网站中 的任何资料，如果我们的用户信息在数据库中没有加密，对于网管而言，查看这些信息是太简单了。所以，为了增加安全性，我们有必要对数据库中的资料进行加密，这样，即使有人得到了整个数据库，如果没有解密算法，也一样不能查看到数据库中的 用户信息。加密方式在现阶段，我们一般认为存在两种加密方式，单向加密和双向加密。双向加密是 加密算法中最常用的，它将我们可以直接理解的明文数据加密为我们不可直接理解的 密文数据，然后，在需要的时候，可以使用一定的算法将这些加密以后的密文解密为 原来可以理解的明文。双向加密适合于隐秘通讯。单向加密刚好相反，只能对数据进 行加密，也就是说，没有办法对加密以后的数据进行解密。MD5就是采用单向加密的加密算法，对于MD5而言，有两个特性是很重要的， 第一是任意两段明文数据，加密以后的密文不能是相同的；第二是任意一段明文数据，经过加密以后，其结果必须永远是不变的。前者的意思是不可能有任意两段明文 加密以后得到相同的密文，后者的意思是如果我们加密特定的数据，得到的密文一定 是相同的。3.3.3 Md5加密原理对MD5算法简要的叙述可以为：MD5以512位分组来处理输入的信息，且每一 分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32 位分组组成，将这四个32位分组级联后将生成一个128位散列值。在MD5算法中，首先需要对信息进行填充，使其字节长度对512求余的结果等于 448。因此，信息的字节长度 (Bits Length)将被扩展至 N*512+448，即N*64+56 个字节(Bytes)，N为一个正整数。填充的方法如下，在信息的后面填充一个1和无 数个0，直到满足上面的条件时才停止用 0对信息的填充。然后，在在这个结果后面 附加一个以64位二进制表示的填充前信息长度。经过这两步的处理，现在的信息字 节长度=N*512+448+64=(N+1)*512 ，即长度恰好是512的整数倍。这样做的原因是 为满足后面处理中对信息长度的要求。MD5中有四个32位被称作链接变量(Chaining Variable)的整数参数，他们分 别为：A=0x01234567，B=0x89abcdef，C=0xfedcba98，D=0x76543210。当设置好这四个链接变量后，就开始进入算法的四轮循环运算。循环的次数是信 息中512位信息分组的数目。将上面四个链接变量复制到另外四个变量中：A到a, B到b , C到c, D到d。主循环有四轮(MD4只有三轮)，每轮循环都很相似。第一轮进行16次操作。 每次操作对a、b、c和d中的其中三个作一次非线性函数运算，然后将所得结果加上 第四个变量，文本的一个子分组和一个常数。再将所得结果向右环移一个不定的数， 并加上a、b、c或d中之一。最后用该结果取代a、b、c或d中之一。以一下是每次操作中用到的四个非线性函数(每轮一个)。F(X,Y,Z) =(X&Y )|(X )&Z)G(X,Y,Z) =(X&Z)|(Y&(Z)H(X,Y,Z) =XAYAZI(X,Y,Z)=YA(X|(Z)(&是与，|是或，是非，A是异或)这四个函数的说明：如果X、Y和Z的对应位是独立和均匀的，那么结果的每一位 也应是独立和均匀的。F是一个逐位运算的函数。即，如果X，那么Y,否则Z。函数 H是逐位奇偶操作符。MD5在实际中的一个应用就是对数据库中的用户信息加密，当用户创建一个新的账号或者密码，他的信息不是直接保存到数据库，而是经过一次加密以后再保存，这 样，即使这些信息被泄露，也不能立即理解这些信息的真正含义。具体算法在java语言中，实现MD5加密是一件很简单的事情，因为java JDK已经为我们 提供了相关的类。我们只需要调用就可以了。下面我来说一下具体的算法：/对字符串进行MD5加密public class Jiami public static Stri ng MD5(Stri ng in Str) MessageDigest md5 = null ;try md5 = MessageDigest. getInstanee (MD5); catch (Exceptio n e) System.out .println(e.toString();e.pri ntStackTrace();return ;char charArray = in Str.toCharArray();byte byteArray = new byte charArray.length;for (i nt i = 0; i charArra y.len gth; i+)byteArrayi = ( byte ) charArrayi;byte md5Bytes = md5.digest(byteArray);Stri ngBuffer hexValue = new Stri ngBuffer();for (int i = 0; i md5Bytes .len gth; i+) int val = ( int) md5Bytesi) & 0xff;if (val Jamac Jiami. JauaC： MJser$haiojaMa Jiami慎始 65692HD加密后 710d3SS55d24Jb915fe6a40Odd9A7d0aI1D5启再勺经： CEDkGLLAAkFtmEAtfigCDDIkMlBChD童餅密为HD5憲码一7L6d38855d24I)915fe6a40Odd?a67dQa4总结本文主要对MySQL数据库的安全配置、MySQL用户帐号管理以及使用 MD5加 密提高数据库前台和后台数据安全性做了详细研究 。通过本次论文的编写，让我了解了 MySQL数据库的安全配置、用户账号管理、 增删用户等知识以及如何使用 MD5加密地数据库中的数据进行加密。在今后的软件 开发中，我知道如何尽可能的提高数据库的安全性，保证资料不被窃取。由于MySQL数据库是个相当复杂的管理数据的系统，有很多问题我没有实际操 作，有很多实际操作结果与书籍中的不一致，还有很多问题书籍中没有详细讲解等等，所以这次论文只做了简单研究，有些地方讲解的不清楚。这都是本次论文的不足 之处。我希望通过以后的进一步学习，能够更好的掌握MySQL数据库的安全管理。参考文献：1 唐汉明，兰丽华,关宝军等MySQL数据 库优化与管 理维 护北京：人民邮 电出版社， 2008 年，第 25-45 页。2 David LitchfieldChris Anley著，闫雷鸣刑苏霄翻译数据库黑客大曝光出版地：北京清华大学出版社，2006年，第222-266页3 朱小平网络数据库安全技术的研究与实现同济大学硕士论文2006年，第5-34页4 高延玲网络数据库安全研究与应用西安电子科技大学硕士论文2003年，第8-33页5 美Ian Gilfillan著，王军等译MlySQL4从入门到精通出版地：北京电子工业出版社2003年版，第129-168 页张海，黄健昌，祝定泽 MySQL核心内幕北京：清华大学出版社2010年，第199-240页7唐小东 基于Web的网络数据库安全研究 武汉理工大学硕士论文2002年，第7-36页附录：为了更清楚的说明加密过程，特将代码列出，以作为参考import java.security.MessageDigest;/对字符串进行MD5加密public class Jiami public static Stri ng MD5(Stri ng in Str) MessageDigest md5 = nu II;try md5 = MessageDigest.get In sta nce(MD5); catch (Exceptio n e) System.out.pri ntl n( e.toStri ng();e.pri ntStackTrace();return ;char charArray = in Str.toCharArray();byte byteArray = new bytecharArra yen gth;for (int i = 0; i charArra y.len gth; i+)byteArrayi = (byte) charArrayi;byte md5Bytes = md5.digest(byteArray);Stri ngBuffer hexValue = new Stri ngBuffer();for (i nt i = 0; i md5Bytes .len gth; i+) in t val = (i nt) md5Bytesi) & Oxff;if (val 16)hexValue.appe nd(0);hexValue.appe nd(l nteger.toHexStri ng(val);return hexValue.toStri ng();/对MD5密码再次加密，进行异或运算public static Stri ng KL(Stri ng in Str) char a = in Str.toCharArray();for (i nt i = 0; i aen gth; i+) ai = (char) (ai A t);Stri ng s = new Strin g(a);return s;/对异或后的密码再次进行异或运算，还原为MD5密码public static Stri ng JM(Stri ng in Str) char a = in Str.toCharArray();for (i nt i = 0; i + s);System.out.pri ntln (MD5加密后 + MD5(s);System.out.println(MD5后再加密- + KL(MD5(s);System.out.println(解密为 MD5 密码- + JM(KL(MD5(s);