为MySQL数据库服务器启用远程连接

1. 服务器环境

测试机上的服务器环境为: MySQl服务器版本: 5.1.33-community, Apache服务器版本2.2.11(Win32), PHP版本5.2.9

2. 详细的配置步骤

连接本地服务器:打开命令行工具, 输入”mysql -u root -p”从本地连接MySQL服务器, 如果提示说”mysql是未识别的命令”, 请参照< >以便能够在命令行中使用mysql命令.

对远程连接授权: 使用GRANT命令对远程连接授权, 之后刷新MySQL授权缓存.
[sql]
GRANT ALL PRIVILEGES ON *.* TO ‘UserName’@'Domain||IP’ IDENTIFIED BY ‘Password’;
FLUSH PRIVILEGES;
[/sql]
有关GRANT命令的参考请参照本文的结尾部分. 该SQL语句中的几个关键点是: UserName表示被授权可以远程连接到MySQL服务器的用户名, Password则指对应的密码, 而Domain或者IP则是指被授权连接到共享数据库服务器的主机的域名(Domain)或者网络地址(IP), 举例来说, 假设WEB服务器的地址IP是192.168.1.120, 数据库共享服务器的地址IP是192.168.1.180, 使用RemoteUser和RemotePass作为用户名和密码, SQL语句如下:
[sql]
GRANT ALL PRIVILEGES ON *.* TO ‘RemoteUser’@'192.168.1.120′ IDENTIFIED BY ‘RemotePass’;
[/sql]

测试连通性: 接下来需要测定上述更改是否生效, 本人使用PHP程序来测定, 最简单的测试方式如下, 需要注意的是在测试的时候使用的DBHOST地址是上例中的192.168.1.180, 也就是数据库服务器的地址, 而不是GRANT语句中用到的那个地址:
[php]
// 测试是否授权成功
$connection = mysql_connect(‘192.168.1.180′, ‘RemoteUser’, ‘RemotePass’);
if ($connection) {
echo ‘远程数据库连接成功!’;
mysql_close($connection);
} else {
die(‘无法连接到远程数据库: ‘ . mysql_error());
}
[/php]

3. 安全方面的考虑

方案的安全隐患: 相信懂得SQL语句的同学很容易就能看出上述解决方案的安全缺陷, 执行授权命令之后, RemoteUser就能够对服务器上的所有数据库进行操作, 前面提到这个数据库服务器时共享的, 这样很可能因为恶意攻击或者开发者的不小心导致其他应用的数据库遭到破坏.

增强安全的方案: 针对存在的隐患, 可以采用如下的方法来减小不同的应用对整个数据库共享服务器的安全威胁: 为远程用户设置数据库级别的权限, 而不是服务器级别的, 举例来说, 192.168.1.120的主机上提供论坛服务, 需要访问的数据库为bbs, 这是可以使用如下命令:
[sql]
GRANT ALL PRIVILEGES ON bbs.* TO ‘BBSUser’@'192.168.1.120′ IDENTIFIED BY ‘BBSPass’;
[/sql]
当然, MySQL为我们提供了更加细粒度的权限控制, 可以具体到对数据的原子操作(Create, Update, Read, Delete), 实现这种粒度的控制, 安全性极高但是性能就会打折扣了, 这就需要管理员在两者之间做好平衡.

4. 参考资源

• MySQL的GRANT命令语法参考
• MySQL远程访问
• 将MySQL和PHP添加到系统Path