直接授予 GRANT ALL PRIVILEGES 极其危险,因一旦账号泄露或被注入,攻击者可执行 DROP DATABASE、读取敏感系统表甚至写入恶意 UDF;必须遵循最小权限原则,按业务需求精确授权。
GRANT ALL PRIVILEGES 是危险的生产环境里,用 GRANT ALL PRIVILEGES ON *.* TO 'user'@'%' 看似省事,实则埋下严重隐患:一旦该账号凭证泄露或应用被注入,攻击者可直接 DROP DATABASE、读取 mysql.user 表、甚至写入恶意 UDF。最小化访问控制不是“多一事不如少一事”,而是明确“这个账号只做这一件事”。
比如一个订单查询服务,它不需要 INSERT 或 DELETE 权限,也不该能访问用户密码字段。实际操作中应分层控制:
orders_db),避免用 *.*
SELECT 通常足够,慎开 UPDATE,禁用 FILE、PROCESS、SUPER 等高危权限order_id、status、created_at 的视图 v_order_summary,再对应用账号授予该视图的 SELECT
'app_user'@'10.20.30.%' 替代 'app_user'@'%'
REVOKE 后权限没立即失效?注意 FLUSH PRIVILEGES 的误区MySQL 8.0+ 中, REVOKE 和 GRANT 操作会立即生效,无需手动 FLUSH PRIVILEGES;但如果你是直接修改 
mysql.tables_priv 系统表(不推荐),才需要刷新。常见错误是误以为“改了就得刷”,结果在脚本里冗余执行,反而引发锁表风险。
验证权限是否生效,用目标账号登录后执行:
SHOW GRANTS FOR CURRENT_USER;
注意:CURRENT_USER() 返回的是认证用户(即 'user'@'host'),而 USER() 返回客户端声明的用户,二者可能不同。
SET DEFAULT ROLE
MySQL 8.0 支持角色,但角色默认不激活。即使你执行了:
CREATE ROLE 'report_reader';
GRANT SELECT ON sales_db.* TO 'report_reader';
GRANT 'report_reader' TO 'analyst'@'192.168.1.%';
该账号登录后仍无权限,除非显式执行:
SET DEFAULT ROLE 'report_reader' TO 'analyst'@'192.168.1.%';
否则每次连接都要手动 SET ROLE 'report_reader',应用几乎无法稳定使用。角色不是“赋予权限就完事”,默认角色绑定这一步不可省。
最小化控制最难的不是语法,而是持续厘清“这个服务此刻真正需要哪几条 SQL”——权限策略必须随业务逻辑演进同步更新,而不是部署一次就遗忘。