MySQL安全管理需分层持续维护：身份认证须明确'用户'@'主机'，禁用'%'；权限控制遵循最小化原则，慎用ALL PRIVILEGES；运行时加固依赖bind-address、secure-file-priv等配置。

用户创建与主机限制必须写全 'user'@'host'

很多人只写 CREATE USER 'alice'，结果 MySQL 默认补成 'alice'@'%' —— 意味着该用户能从任意 IP 远程登录，哪怕你本意只是本地开发。这直接绕过防火墙白名单，是高频安全缺口。

• host 不是可选项，而是权限作用域的关键部分： 'alice'@'localhost' 和 'alice'@'192.168.1.%' 是两个完全独立的账户，权限互不影响
• 生产环境禁用 '%'，优先用具体内网段（如 '10.0.2.%'）或域名（如 'app-server.internal'）
• 本地管理账号应严格限定为 'root'@'localhost'，并确认 mysql.user 表中没有残留的 'root'@'%' 记录

权限分配必须遵循最小化原则，慎用 ALL PRIVILEGES

给应用账号授 GRANT ALL PRIVILEGES ON appdb.* 看似省事，实则埋雷：一旦应用代码存在 SQL 注入漏洞，攻击者可直接 DROP TABLE 或 CREATE FUNCTION 执行系统命令。

• 业务账号通常只需 SELECT, INSERT, UPDATE, DELETE；只读报表账号只给 SELECT；运维脚本账号按需加 SHOW VIEW 或 EXECUTE
• 全局权限（如 PROCESS、SUPER、REPLICATION CLIENT）绝不能下放给普通应用用户
• 执行 GRANT 后，MySQL 不自动刷新权限缓存，但 8.0+ 已无需手动 FLUSH PRIVILEGES；5.7 及更早版本仍需执行（否则新权限不生效）

运行时加固比权限语句更重要：bind-address、skip-networking、secure-file-priv

权限再细，也防不住一个监听在 0.0.0.0:3306 且密码弱的 root 账号被爆破。真正的防线在 MySQL 启动配置里。

• bind-address = 127.0.0.

  

  1（仅本地）或 bind-address = 192.168.5.10（指定内网 IP），禁止暴露公网 —— 这比防火墙规则更底层可靠
• skip-networking = 1 彻底关闭 TCP 连接，强制走 socket 文件，适合单机部署的后台服务
• secure-file-priv = /var/lib/mysql-files 限制 LOAD DATA INFILE 和 SELECT ... INTO OUTFILE 的路径，防止通过文件操作读取服务器敏感文件（如 /etc/passwd）

密码与账户生命周期管理常被忽略

很多团队花大力气配好权限，却让空密码账号、过期测试账号、长期未登录账号一直躺在 mysql.user 表里 —— 它们就是静默的后门。

• 定期检查空密码：SELECT user, host FROM mysql.user WHERE authentication_string = '' OR authentication_string IS NULL;
• 删除无用账号用 DROP USER 'test'@'localhost';，不要只删 mysql.user 行（会残留权限表脏数据）
• MySQL 8.0+ 支持密码过期策略：ALTER USER 'appuser'@'%' PASSWORD EXPIRE INTERVAL 90 DAY;，配合应用层告警更有效

# mysql  # word  # 防火墙  # app  # 作用域  # sql权限  # sql  # NULL  # select  # internal  # var  # delete  # function  # table  # 身份认证  # 也没  # 很多人  # 只需  # 形同虚设  # 躺在  # 能让  # 意识到  # 更重要  # 三点 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 如何在VPS电脑上快速搭建网站？  轻松掌握MySQL函数中的last_insert_id()  Laravel怎么设置路由分组Prefix_Laravel多级路由嵌套与命名空间隔离【步骤】  零服务器AI建站解决方案：快速部署与云端平台低成本实践  Laravel如何使用Passport实现OAuth2？（完整配置步骤）  如何用西部建站助手快速创建专业网站？  如何快速使用云服务器搭建个人网站？  C++时间戳转换成日期时间的步骤和示例代码  如何在香港服务器上快速搭建免备案网站？  如何在 Go 中优雅地映射具有动态字段的 JSON 对象到结构体  bootstrap日历插件datetimepicker使用方法  Laravel如何处理CORS跨域请求？（配置示例）  Laravel Pest测试框架怎么用_从PHPUnit转向Pest的Laravel测试教程  使用豆包 AI 辅助进行简单网页 HTML 结构设计  Laravel怎么配置自定义表前缀_Laravel数据库迁移与Eloquent表名映射【步骤】  如何在橙子建站中快速调整背景颜色？  如何用已有域名快速搭建网站？  高端建站三要素：定制模板、企业官网与响应式设计优化  Android中AutoCompleteTextView自动提示  儿童网站界面设计图片,中国少年儿童教育网站-怎么去注册？  Laravel如何使用Service Provider注册服务_Laravel服务提供者配置与加载  标题：Vue + Vuex + JWT 身份认证的正确实践与常见误区解析  浅谈javascript alert和confirm的美化  悟空浏览器如何设置小说背景色_悟空浏览器背景色设置【方法】  如何在HTML表单中获取用户输入并用JavaScript动态控制复利计算循环  uc浏览器二维码扫描入口_uc浏览器扫码功能使用地址  如何用IIS7快速搭建并优化网站站点？  Laravel队列任务超时怎么办_Laravel Queue Timeout设置详解  Win11怎么开启自动HDR画质_Windows11显示设置HDR选项  Laravel如何使用Collections进行数据处理？（实用方法示例）  Laravel如何实现文件上传和存储？（本地与S3配置）  Laravel怎么实现一对多关联查询_Laravel Eloquent模型关系定义与预加载【实战】  Laravel的Blade指令怎么自定义_创建你自己的Laravel Blade Directives  香港服务器网站生成指南：免费资源整合与高速稳定配置方案  如何在建站主机中优化服务器配置？  制作电商网页,电商供应链怎么做？  图册素材网站设计制作软件,图册的导出方式有几种？  Laravel如何使用Service Provider服务提供者_Laravel依赖注入与容器绑定【深度】  Bootstrap CSS布局之列表  如何在 Telegram Web View（iOS）中防止键盘遮挡底部输入框  Angular 表单中正确绑定输入值以确保提交与验证正常工作  WEB开发之注册页面验证码倒计时代码的实现  大连企业网站制作公司,大连2025企业社保缴费网上缴费流程？  HTML透明颜色代码怎么让下拉菜单透明_下拉菜单透明背景指南【技巧】  如何快速搭建高效可靠的建站解决方案？  如何在 Python 中将列表项按字母顺序编号（a.、b.、c. …）  阿里云网站搭建费用解析：服务器价格与建站成本优化指南  Laravel如何实现事件和监听器？（Event & Listener实战）  如何在万网ECS上快速搭建专属网站？  如何挑选高效建站主机与优质域名？