secure_file_priv 是 mysql 强制限制文件导入导出路径的安全选项,设为 NULL 则禁用、设为路径则仅允许该目录、为空字符串则不限制(不推荐);其值只读,需修改配置文件并重启生效,且目标目录须有 mysql 进程读写权限。
secure_file_priv 是什么,为什么导出文件会失败
MySQL 启动时如果配置了 secure_file_priv,它就强制限定所有文件导入导出操作(比如 select ... INTO OUTFILE、LOAD DATA INFILE)只能在指定目录下进行。不是“建议”,是硬性拦截——哪怕你有 SUPER 权限,写到其他路径也会直接报错:Error 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement。
常见诱因:升级 MySQL 5.7+ 或安装新版 mariadb 后突然导不出数据;用 docker 部署时没挂载对应目录;本地开发环境默认启用了该限制但没留意日志。
查看当前 secure_file_priv 设置值
连上 MySQL 后直接查变量就行,不用翻配置文件:
SHOW varIABLES LIKE 'secure_file_priv';返回结果可能有三种情况:
-
NULL:表示完全禁用所有文件导入导出功能(最严格) -
/var/lib/mysql-files/(或其他具体路径):只允许读写这个目录 - 空字符串
'':表示不限制路径(不推荐,生产环境不应这么设)
注意:secure_file_priv 是只读变量,运行时无法用 SET 修改,必须改配置文件并重启 mysqld。
修改 secure_file_priv 的实际操作步骤
先确认你要导出的目标目录存在、MySQL 进程有读写权限(比如 mysql:mysql 所属),再改配置:
- 编辑 MySQL 配置文件(通常是
/etc/my.cnf或/etc/mysql/mysql.conf.d/mysqld.cnf) - 在
[mysqld]段落下添加或修改这一行:secure_file_priv = /path/to/your/export/dir - 确保该目录已创建且权限正确:
sudo mkdir -p /path/to/your/export/dir && sudo chown mysql:mysql /path/to/your/export/dir - 重启服务:
sudo systemctl restart mysql(或mysqld)
别漏掉权限检查:即使配置写了路径,如果 MySQL 进程没写入权,执行 INTO OUTFILE 仍会报 ERROR 1 (HY000): Can't create/write to file。
导出时绕不开的权限和路径细节
即使 secure_file_priv 放开了,导出语句本身还有几个关键点:
-
INTO OUTFILE的路径必须是绝对路径,且必须相对于secure_file_priv所设目录——比如设的是/data/mysql-export,那语句里就得写INTO OUTFILE '/data/mysql-export/users.csv',不能写相对路径或上级路径 - 文件名不能已存在,MySQL 不会覆盖,报错
ERROR 1086 (HY000): File 'xxx' already exists - 导出内容不含列头,如需表头得自己拼接,或用客户端工具(如
mysqldump --tab生成的.sql+.txt文件对更可控) - Docker 场景下,除了配置
secure_file_priv,还必须把宿主机目录通过-v挂载进容器,否则路径存在但不可达
真正容易被忽略的是:这个变量影响的不只是你主动写的 INTO OUTFILE,还包括备份工具(如某些自定义脚本调用 LOAD DATA)、etl 流程里的中间文件落地——只要走文件 IO,就绕不开它。