MySQL 用户 host 字段到底能填什么
MySQL 的用户权限不是只看用户名,
host字段才是决定“谁能在哪连上来”的关键。它不是 IP 白名单配置项,而是认证时与客户端发起连接的
host(即 TCP 连接来源的 IP 或主机名)做**精确匹配或通配符匹配**。
常见误区是以为
'user'@'192.168.%'能匹配所有内网 IP,但实际它只匹配以
192.168.开头的**字符串形式 host**——如果客户端用的是域名(如
db-server.local),或者 MySQL 服务端启用了
skip_name_resolve,那根本不会做 DNS 反查,
host就是连接时传过来的原始字符串,可能根本不是 IP。
'user'@'localhost':仅匹配 Unix socket 或明确指定
--host=localhost(且未走 TCP)的本地连接;它和
'user'@'127.0.0.1'是两个完全不同的账号
'user'@'%':匹配任意非 localhost 的 host 字符串(注意:不包括
localhost),但不等价于“允许所有 IP”,因为仍受网络层限制
'user'@'10.0.0.5':只匹配该 IP 发起的连接;若客户端 NAT 后出口 IP 是
203.0.113.10,这个规则就失效 不支持 CIDR 写法(如
'user'@'10.0.0.0/24'),只能用
%或
_通配,且
%不能跨段(
'10.%.%.%'是合法的,但语义模糊、易误配)
bind-address 和 skip-networking 怎么影响外部连接
MySQL 默认只监听
127.0.0.1(Linux 下
bind-address = 127.0.0.1),这意味着即使你建了
'app'@'%',外部机器也连不上——TCP 层就拒绝了。这不是权限问题,是服务根本没在那个地址上收包。
skip-networking更彻底:直接关闭 TCP/IP 协议栈监听,只留 socket,此时任何远程 IP 都无法建立连接,哪怕权限全开也没用。 要允许远程连接,必须显式设置
bind-address = 0.0.0.0(监听所有 IPv4 接口)或具体内网 IP(如
10.0.0.10) 改完配置后必须
sudo systemctl restart mysql(或
mysqld),仅
FLUSH PRIVILEGES不生效 云服务器要注意安全组/ACL:MySQL 端口(默认 3306)必须在防火墙层面放行,否则连接会在 TCP SYN 阶段超时,错误提示常是
Connection refused或
Can't connect to MySQL server
GRANT 之后为什么还是连不上:权限缓存与解析顺序
MySQL 权限检查分两步:先查
mysql.user表匹配
User+
Host元组,再查对应权限字段(如
Select_priv)。但这里有个关键细节:匹配是按
Host字段长度降序进行的,更具体的 host 优先级更高。
比如同时存在
'app'@'10.0.0.5'和
'app'@'%',从
10.0.0.5连入时,永远命中前者,后者权限再大也无关。 执行
GRANT后无需手动
FLUSH PRIVILEGES(除非你直接改了
mysql库的表) 但如果你删过用户又重建,要注意旧连接可能还持着旧权限缓存,新连接才会生效 验证当前生效的权限:用目标账号登录后执行
SELECT CURRENT_USER(), USER();,前者是匹配到的
User@Host,后者是客户端声明的,二者可能不同 排查权限问题最直接的方式是查
SELECT User, Host FROM mysql.user;,确认你要用的组合确实存在且拼写完全一致(注意空格、大小写、引号)
生产环境最小权限 + 网络隔离建议
权限宁可多建几个专用账号,也不要给一个账号
ALL PRIVILEGES ON *.*。网络层比数据库层更容易收敛风险。 应用账号只授予必要 DB 的
SELECT,INSERT,UPDATE,DELETE,禁用
DROP、
CREATE、
FILE、
PROCESS等高危权限 管理账号(如
dba)限定
Host为跳板机 IP 或运维网段(如
'dba'@'172.16.10.%'),绝不设为
%数据库服务器操作系统防火墙(如
ufw或
iptables)只放行应用服务器和跳板机的 3306 端口,其他全部 DROP 若用云服务,优先使用 VPC 内网通信,避免将 RDS 实例绑定公网 IP;如必须暴露,启用数据库代理或 WAF 做 SQL 注入过滤(但别依赖它防权限绕过)
SELECT User, Host, Select_priv, Insert_priv, Drop_priv FROM mysql.user WHERE User = 'app' AND Host LIKE '10.%';
真正容易被忽略的是:MySQL 的
host匹配发生在连接建立后、认证过程中,而网络可达性(bind-address、防火墙、路由)是前置条件。调权限前,先确认
telnet your-db-ip 3306能通;否则所有 GRANT 都是空中楼阁。
