MySQL用户账号绑定IP需精确匹配host字段,如'api'@'192.168.5.11';不支持CIDR,%仅作字符通配;须删除冗余宽泛权限、检查bind-address与防火墙、区分localhost与127.0.0.1。mysql用户账号绑定具体IP地址MySQL的权限系统靠 user@host 这个组合来识别访问来源,host 部分不是"允许范围",而是"必须完全匹配"的主机标识。想只让内网某台机器连,就得把 host 写成它的实际IP,比如 'app-server'@'192.168.10.42'。常见错误是写成 'user'@'192.168.%' 或 'user'@'192.168.10.0/24' ------ MySQL不支持CIDR掩码,% 是通配符但只匹配任意字符(不含点号分隔的段数逻辑),192.168.% 实际会匹配 192.168.100.200 甚至 192.168x.y,非常危险。创建账号时直接指定IP:CREATE USER 'api'@'192.168.5.11' IDENTIFIED BY 'pwd123';已有账号需用 RENAME USER 或先 DROP USER 再重建,不能只改 host执行完记得 FLUSH PRIVILEGES;,否则变更不生效为什么GRANT后还是连不上?检查host字段是否被覆盖MySQL在权限匹配时,会按 user@host 字符串长度由长到短排序匹配,最长的优先。如果同时存在 'app'@'192.168.5.%' 和 'app'@'192.168.5.11',而前者权限更大,那么即使你从 192.168.5.11 连入,也会命中前者------导致你以为绑定了IP,实际走的是宽泛规则。查当前所有匹配该用户的记录:SELECT User, Host FROM mysql.user WHERE User = 'app';删掉冗余的宽泛条目,比如 'app'@'%' 或 'app'@'192.168.%'确认连接时客户端真实出口IP:容器里可能看到的是网关IP,K8s Pod可能经过Service代理,得看 SHOW PROCESSLIST; 里的 Host 列bind-address和防火墙是两层控制,缺一不可bind-address 是MySQL服务监听的网卡地址,不是权限控制手段。设成 127.0.0.1 就只能本地连;设成 0.0.0.0 才能接受远程连接------但此时仍受账号 host 限制。很多人只改权限却忘了放开监听,或者开了 0.0.0.0 却没配防火墙,结果外网也能扫到端口。 VWO 一个A/B测试工具
相关推荐
dunge20268 小时前
2026年7月最新ChatGPT Plus / Pro 与 Codex:当 AI Agent 最新5.6版本来袭,必须理解事务、幂等与补偿研究员子楚8 小时前
GEO行业发展标准体系白皮书V2.0-第10卷 · 全球篇:跨国标准协同与全球品牌语义治理框架Omics Pro9 小时前
深度学习多组学互作:组内+组间用户83562907805110 小时前
使用 Python 在 Excel 中添加和自定义文本框残*影11 小时前
如何优雅地保存MySQL数据变更历史?总裁余(余登武)11 小时前
python多个py文件打包【解决exe不能移动运行bug】乐观的Terry11 小时前
3、数据库设计与领域实体舞影天上11 小时前
RuoYi-Vue-Plus Docker 部署踩坑:MySQL 中文双重编码的根因与修复Database_Cool_11 小时前
数据仓库弹性扩缩容怎么实现?AnalyticDB MySQL 在线扩容 0 中断实战kisloy11 小时前
【python零基础教程第24讲】代码规范与质量管控