MySQL 默认匿名用户是什么
MySQL 安装后可能自带用户名为空(
'')的匿名账户,它们没有密码,且 host 可能是
'localhost'或
'%'。这类账户优先级高于其他用户(因 MySQL 授权表按 host + user 字典序匹配),一旦存在,即使你创建了
root@localhost,连接时也可能被匿名用户“劫持”,导致登录不报错但权限极低(比如无法执行
SHOW DATABASES)。
检查并删除匿名用户
用高权限账号(如
root@localhost)登录后执行:
SELECT User, Host FROM mysql.user WHERE User = '';
若返回结果,说明存在匿名用户。逐个删掉(注意:host 区分大小写和通配符):
DROP USER ''@'localhost';
DROP USER ''@'127.0.0.1';
DROP USER ''@'::1';(IPv6 回环)
别用
DELETE FROM mysql.user直接删行——这会跳过权限系统清理逻辑,后续
FLUSH PRIVILEGES也不生效;必须用
DROP USER。
禁止 root 远程登录 + 强制密码验证
默认
root@localhost通常已设密码,但常被误开
root@'%'或留空密码。检查并收紧: 确认远程 root 是否必要:
SELECT User, Host FROM mysql.user WHERE User = 'root';删掉非必需的远程 root:
DROP USER 'root'@'%';确保本地 root 有强密码:
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY '你的强密码';禁用空密码:
SET PASSWORD FOR 'root'@'localhost' = '';这类操作必须杜绝
MySQL 8.0+ 默认认证插件是
caching_sha2_password,某些旧客户端不兼容,若需兼容性可显式指定
mysql_native_password,但不要因此降级安全强度。
刷新权限并验证实际连接行为
FLUSH PRIVILEGES;必须执行,否则删掉的用户仍可能在缓存中生效。之后测试几个关键场景: 用
mysql -u root -p本地登录 → 应成功 用
mysql -u '' -h localhost→ 应报错
Access denied for user ''@'localhost'从另一台机器
mysql -h your_ip -u root -p→ 应失败(除非你明确开了
root@'your_ip')
最容易忽略的是:Docker 环境或一键安装包(如 XAMPP、AMPPS)常预置匿名用户且不提示;另外,
skip-grant-tables模式下所有权限检查失效,上线前务必确认配置文件里没这行。
