MySQL 使用密码哈希存储用户凭证是保障数据库安全的重要方式。默认情况下,MySQL 不会明文存储密码,而是使用强哈希算法进行加密处理。
MySQL 默认的密码哈希机制
从 MySQL 5.7 和 8.0 开始,系统使用 SHA-256 或更安全的 caching_sha2_password 认证插件对用户密码进行哈希处理。
当你执行如下语句时:
CREATE USER 'admin'@'localhost' IDENTIFIED BY 'mysecretpassword';MySQL 会自动将 mysecretpassword 经过哈希运算后存储在 mysql.user 表的 authentication_string 字段中,不会以明文保存。
你可以查看哈希后的值(不建议直接查询生产环境):
SELECT user, host, authentication_string FROM mysql.user WHERE user = 'admin';返回的是类似 *EACFXXXX... 的字符串,这就是经过 SHA-256 哈希并编码后的结果。
如何在应用中安全地使用密码哈希
如果你在自己的业务表中需要存储用户密码(如用户管理系统),不要依赖 MySQL 自动处理,而应在应用层实现安全哈希。
推荐做法:
使用强哈希算法,如 bcrypt、scrypt 或 PBKDF2 避免使用 MD5 或 SHA-1,它们已被证明不安全 每次哈希都使用唯一盐值(salt)防止彩虹表攻击示例(以 PHP 的 password_hash 为例):
$hashedPassword = password_hash('user_password', PASSWORD_BCRYPT); // 存入数据库 INSERT INTO users (username, password_hash) VALUES ('alice', '$2y$10$...');验证时使用:
if (password_verify('entered_password', $stored_hash)) { // 登录成功 }注意事项与最佳实践
确保整个密码存储链路安全:
数据库连接使用 TLS 加密,防止传输中泄露 限制对 mysql.user 表的访问权限 定期轮换用户密码 禁用不必要的账户和远程 root 登录如果必须在 SQL 中生成哈希(例如初始化数据),可使用 SHA2() 函数:
INSERT INTO users (name, pwd_hash) VALUES ('test', SHA2('password123', 256));但注意 SHA2 是单向哈希,仍需配合盐值使用才安全。
基本上就这些。关键是:别存明文,用强哈希,加盐,应用层处理最稳妥。
