创建用户必须明确指定 host 而非使用 '%',生产环境应限定为内网或 localhost;授予权限需遵循最小原则,仅赋予 SELECT/INSERT/UPDATE/DELETE 等必要权限;MySQL 8.0+ 应启用 validate_password 插件并设为 MEDIUM 或 STRONG 策略;须定期审计并清理残留账户。创建用户时必须指定 host 而非用 % 通配直接用 CREATE USER 'user'@'%' 是最常见也最危险的做法------它允许该用户从任意 IP 连接,哪怕你只打算在本地用。生产环境应明确限定来源,比如只允许内网访问:CREATE USER 'app_user'@'192.168.1.%',或仅本机:'app_user'@'localhost'。注意:localhost 和 127.0.0.1 在 MySQL 中行为不同(前者走 Unix socket,后者走 TCP),权限记录不互通,别混用。授予权限时避免使用 GRANT ALL PRIVILEGESGRANT ALL PRIVILEGES ON db.* TO 'user'@'host' 会赋予包括 DROP DATABASE、CREATE USER、SHUTDOWN 等高危权限,远超应用所需。应按最小权限原则显式授予:SELECT, INSERT, UPDATE, DELETE ------ 基础 DML 操作EXECUTE ------ 仅当需调用存储过程时添加SHOW VIEW ------ 仅当查询视图时需要绝对不要给 FILE、PROCESS、SUPER 权限,除非 DBA 明确介入运维场景执行后务必运行 FLUSH PRIVILEGES(虽然多数情况下自动刷新,但显式调用更稳妥)。密码策略与强密码强制生效MySQL 8.0+ 默认启用 validate_password 插件,但需确认已加载并配置强度: 文心快码 文心快码(Comate)是百度推出的一款AI辅助编程工具
相关推荐
Cloud_Shy6181 分钟前
解读《Effective Python 3rd Edition》:从练气到老魔(第四章 Item 27 - 29)todoitbo3 分钟前
从 MySQL 到 KingbaseES:Database、Schema、User 一次讲透一只小白0006 分钟前
【JVM | 第五篇】—— 深入理解垃圾回收机汇五金_7 分钟前
交换机箱体材质如何选择?铝合金与钢板有什么区别?asdzx678 分钟前
使用 Python 精准提取 Word 文档中的文本与表格某林2129 分钟前
ROS 2 与大模型融合实战:从进程连环崩溃到类型安全防御的深度排障复盘勇往直前plus21 分钟前
Redis&Python 梳理开源量化GO22 分钟前
多品种组合单品种剧烈波动:组合风控先平谁千云24 分钟前
100w大表0停机回滚:我们为什么放弃Undo Log,选择表名切换?SXJR25 分钟前
使用docker 部署向量数据库Milvus