翻译或纠错本页面
版本安全注意事项¶
访问system.users集合¶
在 2.4 版更改.
在版本2.4中,只有具有用户管理员身份的用户才具有访问system.users集合的权限。
在2.2或者更早的版本中,拥有数据库读写权限的用户均具有访问system.users集合的权限,这包括用户姓名和密码的散列[#读-写-系统-用户]。
[1] | 拥有只读权限的用户无法访问system.users集合。 |
密码散列中的不安全因素¶
如果一个用户的多个数据库拥有相同的密码,那么密码散列值也是相同的,攻击者会借此利用其账户的密钥来访问其另外的数据库。
因此,通常情况下,请为每一个数据库设置唯一的用户名和密码组合。
感谢来自Dell SecureWorks 的Will Urbanski提出这些问题。