MySQL最大风险源是默认空密码的root账户及多主机同名账户，须立即查删空密账户、启用密码策略、创建最小权限账号、限制监听地址并降低日志敏感度。

MySQL 默认账户与空密码是最大风险源

新装 MySQL 后，root@localhost 账户默认可能无密码，或存在 root@127.0.0.1、root@::1 等多个同名但主机不同的账户，部分甚至密码为空。攻击者只要能本地登录（比如通过 SSH 进入服务器），就能直接 mysql -u root 无密进入，完全控制数据库。

• 立即运行

  SELECT user, host, authentication_string FROM mysql.user;

  查看所有账户及其认证字符串（MySQL 5.7+）或 password 字段（5.6 及更早）
• 对所有空密码账户（authentication_string 为 '' 或 *），用 ALTER USER 'user'@'host' IDENTIFIED BY '强密码'; 重置
• 删除无用账户：如 DROP USER 'root'@'%';（除非明确需要远程 root）、DROP USER ''@'localhost';（匿名用户）
• 禁止 root 远程登录：保留 root@localhost，删掉或禁用 root@'%' 和其他通配 host

密码策略必须启用并强制执行

MySQL 5.7+ 自带 validate_password 插件，但默认不启用。不启用时，SET PASSWORD 或 CREATE USER 允许设 '123'、'password' 这类弱口令，等于形同虚设。

• 检查是否加载：

  SHOW VARIABLES LIKE 'validate_password%';

  若返回空，说明插件未启用
• 启用插件：

  INSTALL PLUGIN validate_password SONAME 'validate_password.so';

  （Linux）或 validate_password.dll（Windows）
• 设置强度等级：SET GLOBAL validate_password.policy = MEDIUM;（推荐），同时设最小长度：SET GLOBAL validate_password.length = 10;
• 策略生效后，CREATE USER 'app'@'%' IDENTIFIED BY 'abc'; 会报错 ERROR 1819 (HY000): Your password does not satisfy the current policy requirements

应用连接不要复用 root，要按需建最小权限账号

很多 Web 应用直接在配置里写 root 和密码，一旦代码泄露、日志误打、或 SQL 注入成功，攻击者就拿到全库 DROP 权限。真实场景中，一个订单查询接口只需要 SELECT 权限，却给了 ALL PRIVILEGES。

• 创建专用账号：CREATE USER 'shop_app'@'10.20.30.%' IDENTIFIED BY '长随机密码';（限定来源 IP 段）
• 只授必要权限：GRANT SELECT, INSERT ON shop_db.orders TO 'shop_app'@'10.20.30.%';，不要用 ON *.*
• 回收多余权限：REVOKE DROP ON shop_db.* FROM 'shop_app'@'10.20.30.%';（即使没显式授予，也建议显式回收）
• 定期审计：

  SELECT u.user, u.host, p.table_schema, p.privilege_type FROM mysql.users u JOIN mysql.schema_privileges p ON u.user = p.grantee;

  （注意：不同版本视图名略有差异）

网络层暴露和错误信息泄露常被忽视

MySQL 默认监听 0.0.0.0:3306，意味着只要防火墙没拦，外网就能扫到端口。而开启 log_error_verbosity = 3（默认）时，错误日志会记录认证失败的用户名——攻击者可借此枚举有效账户名。

• 绑定内网地址：修改 my.cnf 中 bind-address = 127.0.0.1 或具体内网 IP（如 10.20.30.5），避免 0.0.0.0
• 关闭远程 root 登录后，仍要确认防火墙规则：ufw deny 3306 或 iptables -A INPUT -p tcp --dport 3306 -j DROP
• 降低错误日志敏感度：SET GLOBAL log_error_verbosity = 2;（不记录用户名，只记失败事件）
• 禁用旧协议认证：SET GLOBAL old_passwords = 0;，并确保客户端使用 caching_sha2_password 或 mysql_native_password 插件

实际中最容易被忽略的是：多个 host 的同名账户权限不一致，且其中一个留着空密码；或者以为禁用了 root@’%’ 就安全了，却忘了 root@’::1’ 依然可用。这类细节不会报错，也不会告警，但只要一次扫描或一次本地提权，就全线失守。

# mysql  # linux  # word  # windows  # 防火墙  # app  # 端口  # win  # sql  # select  # Error  # 字符串  # 接口  # Length  # 事件  # input  # 数据库  # ssh  # 就能  # 多个  # 这类  # 报错  # 内网  # 的是  # 形同虚设  # 给了  # 只需要  # 其中一个 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 高防服务器：AI智能防御DDoS攻击与数据安全保障  制作电商网页,电商供应链怎么做？  如何在建站宝盒中设置产品搜索功能？  打开php文件提示内存不足_怎么调整php内存限制【解决方案】  C++用Dijkstra(迪杰斯特拉)算法求最短路径  Laravel如何优雅地处理服务层_在Laravel中使用Service层和Repository层  深圳网站制作平台,深圳市做网站好的公司有哪些？  JavaScript如何实现倒计时_时间函数如何精确控制  Win10如何卸载预装Edge扩展_Win10卸载Edge扩展教程【方法】  再谈Python中的字符串与字符编码（推荐）  如何解决hover在ie6中的兼容性问题  Python文件流缓冲机制_IO性能解析【教程】  网站建设整体流程解析，建站其实很容易！  如何安全更换建站之星模板并保留数据？  如何快速生成ASP一键建站模板并优化安全性？  如何在VPS电脑上快速搭建网站？  简历在线制作网站免费版,如何创建个人简历？  Laravel如何获取当前登录用户信息_Laravel Auth门面使用与Session用户读取【技巧】  详解Nginx + Tomcat 反向代理 如何在高效的在一台服务器部署多个站点  html5怎么画眼睛_HT5用Canvas或SVG画眼球瞳孔加JS控制动态【绘制】  黑客如何利用漏洞与弱口令入侵网站服务器？  Laravel如何实现邮箱地址验证功能_Laravel邮件验证流程与配置  ,南京靠谱的征婚网站？  如何在IIS中配置站点IP、端口及主机头？  Laravel如何理解并使用服务容器（Service Container）_Laravel依赖注入与容器绑定说明  潮流网站制作头像软件下载,适合母子的网名有哪些？  Chrome浏览器标签页分组怎么用_谷歌浏览器整理标签页技巧【效率】  Laravel如何发送邮件_Laravel Mailables构建与发送邮件的简明教程  简单实现jsp分页  Win11怎么恢复误删照片_Win11数据恢复工具使用【推荐】  东莞专业网站制作公司有哪些,东莞招聘网站哪个好？  怎样使用JSON进行数据交换_它有什么限制  Python函数文档自动校验_规范解析【教程】  Laravel如何配置中间件Middleware_Laravel自定义中间件拦截请求与权限校验【步骤】  微信小程序 require机制详解及实例代码  iOS正则表达式验证手机号、邮箱、身份证号等  Laravel怎么创建自己的包(Package)_Laravel扩展包开发入门到发布  Android中AutoCompleteTextView自动提示  Android滚轮选择时间控件使用详解  移动端手机网站制作软件,掌上时代，移动端网站的谷歌SEO该如何做？  教学论文网站制作软件有哪些,写论文用什么软件 ？  javascript如何操作浏览器历史记录_怎样实现无刷新导航  Laravel模型关联查询教程_Laravel Eloquent一对多关联写法  香港服务器如何优化才能显著提升网站加载速度？  敲碗10年！Mac系列传将迎来「触控与联网」双革新  香港服务器租用每月最低只需15元？  laravel怎么实现图片的压缩和裁剪_laravel图片压缩与裁剪方法  php打包exe后无法访问网络共享_共享权限设置方法【教程】  如何续费美橙建站之星域名及服务？  历史网站制作软件,华为如何找回被删除的网站？