phpmyadmin 万能密码漏洞

基本2.x.x 版本，空密码也能登录phpmyadmin ，'localhost'@'@''  

查了下，基于mysql 数据库权限的漏洞造成

默认会有一个user 为’’ 空的帐号

''@localhost

mysql -u'' -p 直接能进数据库，把这个帐号删除就ok了 ，drop user ''@localhost

或者升级高版本的phpmyadmin 。3.x 版本就没有的

虽然这个权限不大，但是可以透过他上传木马。

网上有些人说  

” 其实是类似--user=mysql --skip-grant-tables --skip-networking这样的启动方式，导致输入什么账户和密码都可以登录吧。 “

其实是错误的，这玩样是启动脚本mysald_safe 的参数，跟这个漏洞没一点关系。 这个漏洞的触发完全是因为 mysql默认有一个空用户名和口令的帐号，''@localhost

但是这个帐号权限比较小，只有usage ，也不能用outfile 语句导出处文件生产木马。