MySQL je ve výchozí konfiguraci přístupné jen z localhostu, takže to, že je přístupné bez hesla až tak nemusí vadit. Nicméně webová aplikace toto zpřístupní vzdáleně, což už je problém mnohem větší.
To samé platí s výběrem MySQL serveru – web server může běžet v DMZ nebo z něj může být jinak přístupný MySQL server, který z internetu dostupný není. Možností vybrat libovolný MySQL server pak otevíráme útočníkovi dveře, které by jinak byly zavřené.
A ano, lidi kašlou na nastavování, což není důvod, aby se výchozí konfigurace nesnažila aspoň o nějaké zabezpečení.
