最大的威胁是攻击者可能利用诸如以下的漏洞：目录遍历，或使用SQL
Injection调用load_file()以读取配置文件中的纯文本用户名/密码，然后使用phpmyadmin或通过tcp端口3306登录。作为pentester，我使用了这种攻击模式来破坏系统。

这是锁定phpmyadmin的好方法：

• 禁止远程root登录！ 相反，可以将phpmyadmin配置为使用“ Cookie身份验证”来限制哪些用户可以访问系统。如果您需要一些root特权，请创建一个可以添加/删除/创建但没有grant或的自定义帐户file_priv。
• file_priv从每个帐户中删除权限。file_priv是MySQL中最危险的特权之一，因为它允许攻击者读取文件或上传后门。
• 有权访问phpmyadmin界面的白名单IP地址。这是一个.htaccess重新设置示例：

Order deny,allow
Deny from all
allow from 199.166.210.1

• 没有可预测的文件位置，例如：http://127.0.0.1/phpmyadmin。Nessus / Nikto / Acunetix / w3af等漏洞扫描程序将对此进行扫描。

• 关闭tcp端口3306的防火墙，以使攻击者无法访问它。

• 使用HTTPS，否则数据和密码可能会泄露给攻击者。如果您不想花30美元购买证书，请使用自签名。您将接受一次，即使由于MITM而更改它，也会收到通知。