0

0

mysql中用户权限的最小化原则与最佳实践

P粉602998670

P粉602998670

发布时间:2026-02-17 08:24:53

|

303人浏览过

|

来源于php中文网

原创

mysql最小权限原则要求精确授予select等必要权限,限制作用范围至库表列和主机,禁用匿名用户与root远程访问,定期审计回收冗余权限。

mysql中用户权限的最小化原则与最佳实践

只授予 GRANT 所需的最小权限类型

MySQL 不支持“只读用户”这种笼统概念,必须精确到具体权限位。例如,仅允许查询某张表,就该用 SELECT 而非 SELECT, INSERT, UPDATE, DELETE;若只需查一个库,就别给 ALL PRIVILEGES ON *.*

  • SELECT 已足够时,不要顺手加上 SHOW VIEWLOCK TABLES
  • 应用连接账号通常不需要 CREATE USERRELOADPROCESS 等管理类权限
  • 对日志表或审计表,有时只需 INSERT,连 SELECT 都应禁止(防敏感字段泄露)

限制 GRANT 的作用范围:库、表、列、主机

权限颗粒度越细,风险面越小。MySQL 支持在四个维度上收紧:database.tabledatabase.table(column)username@'host'

  • 避免用 'user'@'%',改用具体 IP 段或域名,如 'app01'@'192.168.10.%'
  • 敏感系统表(如 mysql.user)绝不开放给业务账号,哪怕只读
  • 列级权限虽少用,但在处理身份证号、手机号等字段时值得考虑:
    GRANT SELECT (name, email) ON mydb.users TO 'report'@'localhost';

禁用匿名用户与默认 root 远程访问

安装后未清理的 ''@'localhost''root'@'%' 是高频入侵入口。这类账号往往无密码或空密码,且权限极大。

360智绘
360智绘

360智脑推出的AI绘画创作与分享平台

下载
  • 运行
    SELECT User, Host FROM mysql.user;
    检查是否存在空用户名或通配符主机
  • 删除匿名用户:
    DROP USER ''@'localhost';
  • 重命名并限制 root:
    RENAME USER 'root'@'%' TO 'root'@'127.0.0.1'; FLUSH PRIVILEGES;
  • 生产环境应彻底禁用 skip-grant-tables,它会绕过所有权限检查

定期审计与权限回收

权限不会自动过期,但人会转岗、服务会下线、临时需求会变成永久配置。不清理的权限就是潜在后门。

  • 每月执行一次权限比对:
    SELECT User, Host, Select_priv, Insert_priv, Grant_priv FROM mysql.user WHERE account_locked = 'N';
  • 对三个月未登录的账号,先 SET PASSWORD FOR 'olduser'@'%' = ''; 再评估是否删除
  • 使用 SHOW GRANTS FOR 'user'@'host'; 查看实际生效权限,注意 WITH GRANT OPTION 可能导致权限扩散

最常被忽略的是权限继承关系:角色(MySQL 8.0+)可嵌套,但 REVOKE 不会自动级联;回收父角色权限后,子角色仍可能保留旧权限副本。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
mysql修改数据表名
mysql修改数据表名

MySQL修改数据表:1、首先查看数据库中所有的表,代码为:‘SHOW TABLES;’;2、修改表名,代码为:‘ALTER TABLE 旧表名 RENAME [TO] 新表名;’。php中文网还提供MySQL的相关下载、相关课程等内容,供大家免费下载使用。

678

2023.06.20

MySQL创建存储过程
MySQL创建存储过程

存储程序可以分为存储过程和函数,MySQL中创建存储过程和函数使用的语句分别为CREATE PROCEDURE和CREATE FUNCTION。使用CALL语句调用存储过程智能用输出变量返回值。函数可以从语句外调用(通过引用函数名),也能返回标量值。存储过程也可以调用其他存储过程。php中文网还提供MySQL创建存储过程的相关下载、相关课程等内容,供大家免费下载使用。

371

2023.06.21

mongodb和mysql的区别
mongodb和mysql的区别

mongodb和mysql的区别:1、数据模型;2、查询语言;3、扩展性和性能;4、可靠性。本专题为大家提供mongodb和mysql的区别的相关的文章、下载、课程内容,供大家免费下载体验。

285

2023.07.18

mysql密码忘了怎么查看
mysql密码忘了怎么查看

MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的 RDBMS 应用软件之一。那么mysql密码忘了怎么办呢?php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

519

2023.07.19

mysql创建数据库
mysql创建数据库

MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的 RDBMS 应用软件之一。那么mysql怎么创建数据库呢?php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

263

2023.07.25

mysql默认事务隔离级别
mysql默认事务隔离级别

MySQL是一种广泛使用的关系型数据库管理系统,它支持事务处理。事务是一组数据库操作,它们作为一个逻辑单元被一起执行。为了保证事务的一致性和隔离性,MySQL提供了不同的事务隔离级别。php中文网给大家带来了相关的教程以及文章欢迎大家前来学习阅读。

392

2023.08.08

sqlserver和mysql区别
sqlserver和mysql区别

SQL Server和MySQL是两种广泛使用的关系型数据库管理系统。它们具有相似的功能和用途,但在某些方面存在一些显著的区别。php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

537

2023.08.11

mysql忘记密码
mysql忘记密码

MySQL是一种关系型数据库管理系统,关系数据库将数据保存在不同的表中,而不是将所有数据放在一个大仓库内,这样就增加了速度并提高了灵活性。那么忘记mysql密码我们该怎么解决呢?php中文网给大家带来了相关的教程以及其他关于mysql的文章,欢迎大家前来学习阅读。

636

2023.08.14

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

283

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
MySQL 教程
MySQL 教程

共48课时 | 2.3万人学习

MySQL 初学入门(mosh老师)
MySQL 初学入门(mosh老师)

共3课时 | 0.3万人学习

简单聊聊mysql8与网络通信
简单聊聊mysql8与网络通信

共1课时 | 833人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号