mysql用户host字段支持IP、域名、通配符%和_,但仅做字符串匹配且不支持CIDR;’localhost’仅匹配unix socket,’%’不匹配localhost;需配合bind-address、防火墙等网络配置才能生效。
MySQL 用户 host 字段到底能填什么
MySQL 的用户权限不是只看用户名,host 字段才是决定“谁能在哪连上来”的关键。它不是 IP 白名单配置项,而是认证时与客户端发起连接的 host(即 TCP 连接来源的 IP 或主机名)做**精确匹配或通配符匹配**。
常见误区是以为 'user'@'192.168.%' 能匹配所有内网 IP,但实际它只匹配以 192.168. 开头的**字符串形式 host**——如果客户端用的是域名(如 db-server.local),或者 MySQL 服务端启用了 skip_name_resolve,那根本不会做 dns 反查,host 就是连接时传过来的原始字符串,可能根本不是 IP。
-
'user'@'localhost':仅匹配 Unix socket 或明确指定--host=localhost(且未走 TCP)的本地连接;它和'user'@'127.0.0.1'是两个完全不同的账号 -
'user'@'%':匹配任意非 localhost 的 host 字符串(注意:不包括localhost),但不等价于“允许所有 IP”,因为仍受网络层限制 -
'user'@'10.0.0.5':只匹配该 IP 发起的连接;若客户端 NAT 后出口 IP 是203.0.113.10,这个规则就失效 - 不支持 CIDR 写法(如
'user'@'10.0.0.0/24'),只能用%或_通配,且%不能跨段('10.%.%.%'是合法的,但语义模糊、易误配)
bind-address 和 skip-networking 怎么影响外部连接
MySQL 默认只监听 127.0.0.1(linux 下 bind-address = 127.0.0.1),这意味着即使你建了 'app'@'%',外部机器也连不上——TCP 层就拒绝了。这不是权限问题,是服务根本没在那个地址上收包。
skip-networking 更彻底:直接关闭 TCP/IP 协议栈监听,只留 socket,此时任何远程 IP 都无法建立连接,哪怕权限全开也没用。
- 要允许远程连接,必须显式设置
bind-address = 0.0.0.0(监听所有 IPv4 接口)或具体内网 IP(如10.0.0.10) - 改完配置后必须
sudo systemctl restart mysql(或mysqld),仅FLUSH PRIVILEGES不生效 - 云服务器要注意安全组/ACL:MySQL 端口(默认 3306)必须在防火墙层面放行,否则连接会在 TCP SYN 阶段超时,错误提示常是
Connection refused或Can't connect to MySQL server
GRANT 之后为什么还是连不上:权限缓存与解析顺序
MySQL 权限检查分两步:先查 mysql.user 表匹配 User+Host 元组,再查对应权限字段(如 select_priv)。但这里有个关键细节:匹配是按 Host 字段长度降序进行的,更具体的 host 优先级更高。
比如同时存在 'app'@'10.0.0.5' 和 'app'@'%',从 10.0.0.5 连入时,永远命中前者,后者权限再大也无关。
- 执行
GRANT后无需手动FLUSH PRIVILEGES(除非你直接改了mysql库的表) - 但如果你删过用户又重建,要注意旧连接可能还持着旧权限缓存,新连接才会生效
- 验证当前生效的权限:用目标账号登录后执行
SELECT CURRENT_USER(), USER();,前者是匹配到的User@Host,后者是客户端声明的,二者可能不同 - 排查权限问题最直接的方式是查
SELECT User, Host FROM mysql.user;,确认你要用的组合确实存在且拼写完全一致(注意空格、大小写、引号)
生产环境最小权限 + 网络隔离建议
权限宁可多建几个专用账号,也不要给一个账号 ALL PRIVILEGES ON *.*。网络层比数据库层更容易收敛风险。
- 应用账号只授予必要 DB 的
SELECT,INSERT,UPDATE,delete,禁用DROP、CREATE、FILE、PROCESS等高危权限 - 管理账号(如
dba)限定Host为跳板机 IP 或运维网段(如'dba'@'172.16.10.%'),绝不设为% - 数据库服务器操作系统防火墙(如
ufw或iptables)只放行应用服务器和跳板机的 3306 端口,其他全部 DROP - 若用云服务,优先使用 VPC 内网通信,避免将 RDS 实例绑定公网 IP;如必须暴露,启用数据库代理或 WAF 做 SQL 注入过滤(但别依赖它防权限绕过)
SELECT User, Host, Select_priv, Insert_priv, Drop_priv FROM mysql.user WHERE User = 'app' AND Host LIKE '10.%';真正容易被忽略的是:MySQL 的 host 匹配发生在连接建立后、认证过程中,而网络可达性(bind-address、防火墙、路由)是前置条件。调权限前,先确认 telnet your-db-ip 3306 能通;否则所有 GRANT 都是空中楼阁。