php - 将 phpmyadmin 保留为默认用户/密码有什么不安全之处

Question

当我启动 phpmyadmin 时，我看到这条消息:

Your configuration file contains settings (root with no password) that correspond to the default MySQL privileged account. Your MySQL server is running with this default, is open to intrusion, and you really should fix this security hole by setting a password for user 'root'.

这有什么不安全的？
除非攻击者能够以某种方式欺骗 mysql，让其认为他们坐在我的电脑前，否则他们就无法攻击。

如果攻击者不是来自正确的主机，是否还有其他方法可以登录 mysql？

我知道在 php 中你可以选择你想要的主机，但除非他们有权编辑我的服务器/计算机上的 php 文件，否则我看不出他们会造成任何伤害。

Answer 1

即使您的 MySQL 不允许从 localhost 以外的其他主机进行访问，输入密码始终是安全的。

您的phpMyAdmin是通过浏览器访问的，而不是通过IP访问的。

即使您在计算机上托管页面，最好还是设置密码。我每天都会扫描我的计算机和服务器的 *phpMyAdmin*、*PMA*。

所以是的，这是不安全的。