MySQL权限配置错误常致“Access denied”等问题,主因是用户@主机匹配不准、未执行FLUSH PRIVILEGES、权限层级混乱及过度授权;应严格遵循最小权限原则,用GRANT/REVOKE操作并确认CURRENT_USER()与SHOW GRANTS。
MySQL权限配置出错,最常导致“Access denied”、无法登录、SQL执行失败或权限过大等安全问题。核心在于对用户、主机、权限层级和刷新机制理解不到位。
MySQL权限判断是基于用户名 + 主机名组合的,不是只看用户名。常见错误包括:
CREATE USER 'admin'@'localhost',但应用连接时指定的是 127.0.0.1——这两者在MySQL中被视为不同主机(localhost走socket,127.0.0.1走TCP),权限不生效'user'@'%' 能匹配所有地址,却忽略了 'user'@'localhost' 优先级更高,导致本地连接被更具体的规则覆盖'user'@'192.168.%.%' 时,实际IP为 192.168.10.5 是匹配的,但写成 '192.168.%' 就不合法(缺少域名格式要求)通过直接操作 mysql.user 等系统表修改权限后,必须执行 FLUSH PRIVILEGES; 才会重载权限缓存。但更推荐的做法是:
GRANT / REVOKE 语句授予权限(它们会自动刷新)authentication_string 替代旧版 password 字段)caching_sha2_password,旧客户端可能不兼容,需显式指定插件或调整用户认证方式只给 SELECT 在某个库,却不赋予该用户全局 USAGE 权限(即登录能力),会导致用户能连上但看不到任何数据库(SHOW DATABASES 返回空)。正确做法是:
GRANT USAGE ON *.* TO 'u1'@'%' IDENTIFIED BY 'pwd';
GRANT SELECT ON mydb.* TO 'u1'@'%';
GRANT SHOW DATABASES ON *.* TO 'u1'@'%';(MySQL 8.0.12+ 默认隐藏未授权库)
生产环境常见高危操作:
GRANT ALL PRIVILEGES ON *.* 创建“管理员”,却未限制主机范围(如写成 @'%' 而非 @'10.0.0.%')DROP、CREATE USER、GRANT OPTION 等高危权限,一旦SQL注入就可能提权SELECT + SHOW VIEW)权限问题本质是匹配逻辑 + 刷新机制 + 层级控制三者的叠加结果。查问题时优先用 SELECT CURRENT_USER(), USER(); 确认实际匹配的账号,再查 SHOW GRANTS FOR 'u'@'h'; 验证权限内容,比盲目重授更高效。