游乐游手机版
首页/数据库/文章详情

mysql如何检查数据库中是否存在无密码或弱密码账号_执行安全扫描查询

时间:2026-04-28 19:39
MySQL数据库安全审计:如何揪出那些“不设防”的账号? 数据库安全的第一道防线,往往就败在几个疏于管理的账号上。空密码、弱密码、匿名用户……这些配置上的“小疏忽”,常常成为数据泄露的“大缺口”。今天,我们就来聊聊,如何系统性地给MySQL做一次“账号体检”,把那些不设防的入口一个个找出来。 检查

MySQL数据库安全审计:如何揪出那些“不设防”的账号?

mysql如何检查数据库中是否存在无密码或弱密码账号_执行安全扫描查询

数据库安全的第一道防线,往往就败在几个疏于管理的账号上。空密码、弱密码、匿名用户……这些配置上的“小疏忽”,常常成为数据泄露的“大缺口”。今天,我们就来聊聊,如何系统性地给MySQL做一次“账号体检”,把那些不设防的入口一个个找出来。

检查 MySQL 中是否存在空密码账号

你知道吗?MySQL确实允许创建密码为''(空字符串)的账号,这种账号无需任何凭证就能直接登录,风险等级堪称“高危”。虽然从5.7版本开始,默认策略已经禁止了空密码,但在那些历史遗留的旧实例,或者有人手动改过mysql.user系统表的环境里,这类“隐形冲击波”依然可能存在。

怎么确认?运行下面这条查询语句,真相一目了然:

SELECT host, user, authentication_string FROM mysql.user WHERE LENGTH(TRIM(authentication_string)) = 0 OR authentication_string IN ('', '*');

这里有几个关键点需要留意:在MySQL 5.7及以上版本,密码哈希值存储在authentication_string字段里,通常是一串长字符。如果这个字段的值是''(空),甚至是旧版本中用作占位符的'*',那基本可以断定,这个账号要么没设密码,要么密码就是空的。

  • 使用TRIM()函数是个好习惯,它能防止有人用空格伪装成非空密码,蒙混过关。
  • 别再依赖已经过时的password字段了,尤其是在8.0版本它已被移除。
  • 执行这条查询,你需要root账号,或者至少拥有SELECT ON mysql.*的权限。

识别常见弱密码哈希值(如 '123456'、'password')

MySQL当然不会存储明文密码,但这不代表弱密码就无迹可寻。因为密码的哈希算法是固定的,我们可以把那些常见弱口令(比如“123456”、“password”)对应的哈希值提前算好,然后去数据库里“按图索骥”。

举个例子,明文'123456'mysql_native_password认证插件下,其哈希值固定为*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9。那么,筛查起来就很简单了:

SELECT host, user, plugin, authentication_string FROM mysql.user WHERE authentication_string IN (
  '*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9', -- 123456
  '*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19', -- password
  '*AAB0484EA8719F782B12F5E181243E343312410A'  -- 12345678
);
  • 哈希值匹配必须严格区分大小写,一个字母都不能错。
  • 不同认证插件的哈希算法天差地别。用mysql_native_password算出来的哈希,跟caching_sha2_password算出来的完全不是一回事,千万不能混用。尤其是在MySQL 8.0默认启用新插件的环境下,筛查弱密码需要根据实际使用的插件重新计算哈希值。
  • 对于生产环境,如果使用了caching_sha2_password插件,强烈建议关闭其自动生成RSA密钥的明文传输模式,并配置好RSA加密,进一步堵住传输过程中的风险。

检查匿名用户和通配符主机账号

除了弱密码,还有两类账号配置需要特别警惕:匿名用户和主机范围过于宽松的账号。匿名用户(user = '')意味着登录时连用户名都不用输;而主机设为'%'(允许任何IP连接)的账号,如果再配个弱密码,无异于向整个互联网敞开了大门。

运行下面这条查询,把这些潜在的风险入口一并扫出来:

SELECT host, user, authentication_string FROM mysql.user WHERE user = '' OR host = '%' OR (host = 'localhost' AND LENGTH(TRIM(authentication_string)) = 0);
  • 只要查询结果不是空的,就说明存在匿名用户,必须立即处理。
  • host = '%'本身是一种灵活的配置,但它的危险性完全取决于和它搭配的密码强度。一旦密码薄弱,风险便指数级上升。
  • 特别要小心那些本地的运维脚本,有时它们会创建一个'root'@'localhost'账号却忘了设密码,这种“灯下黑”的情况也需要单独排查。

扫描后必须立即处理的三件事

查出问题只是第一步,更重要的是后续的“外科手术”。以下这三项操作,缺一不可:

  • 强制重置密码:对于有保留必要但密码薄弱的账号,立即用ALTER USER 'u'@'h' IDENTIFIED BY 'StrongPass!2024';(8.0+)或SET PASSWORD FOR 'u'@'h' = PASSWORD('...');(5.7)命令,将其密码改为强密码。
  • 删除无用账号:对于那些确定不再使用的匿名用户或测试账号,果断执行DROP USER 'u'@'h';。这里有个细节:在MySQL 5.7及以上版本,DROP USER命令会同步清理权限表,比直接去mysql.user表里执行DELETE要安全、干净得多。
  • 刷新权限:执行FLUSH PRIVILEGES;。不过要注意,这个操作仅在直接修改mysql.user系统表后才必须执行。如果你用的是标准的ALTER USERDROP USER命令,权限变更会自动生效,无需额外刷新。

最后必须提醒一点:虽然MySQL 8.0.25+版本默认启用了validate_password组件来校验密码强度,但它只管“新人”(新建或修改的密码),管不了“旧账”(存量弱密码)。这意味着,定期的、主动的人工扫描与审计,依然是保障数据库账号安全不可替代的核心环节。千万别把希望完全寄托在默认配置上。

来源:https://www.php.cn/faq/2384292.html
上一篇mysql如何查看当前连接数与最大限制_max_connections动态调整 下一篇怎样在SQL存储过程中删除重复数据_利用CTE与ROW_NUMBER函数实现
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
Redis 7.0增量AOF重写RDB前导码配置详解
数据库 · 2026-07-02

Redis 7.0增量AOF重写RDB前导码配置详解

先说一个几乎所有人都踩过的典型误区:很多人把 aof-use-rdb-preamble yes 当作开启“增量重写”的开关。实际上,这个配置只干了一件事——让重写后的 AOF 文件头部带上 RDB 快照。它解决的是加载速度问题,跟“增量重写”本身的概念压根不是一回事。真正的增量重写,依赖的是 Red

在Python Tornado异步框架中安全执行SQL命令的方法与最佳实践
数据库 · 2026-07-02

在Python Tornado异步框架中安全执行SQL命令的方法与最佳实践

直接在Tornado里用SQLAlchemy同步执行SQL,结果就是阻塞IOLoop,所谓“异步框架里写同步数据库代码”,等于白搭。安全执行的关键不是“怎么写SQL”,而是“怎么不卡住事件循环”。 为什么不能在RequestHandler里直接调用session execute() 因为sessio

利用SQL触发器实现在INSERT数据时自动同步到审计表
数据库 · 2026-07-02

利用SQL触发器实现在INSERT数据时自动同步到审计表

先说结论:可以用触发器把 INSERT 数据同步到审计表,但必须用 AFTER INSERT,并且审计表的字段顺序、类型、字符集得和源表严格一致。否则,轻则写入错位、数据截断,重则直接报错、丢数据。下面把这些坑一个一个掰开说。 能,但必须用 AFTER INSERT,且审计表字段顺序、类型、字符集要

如何用SQL编写按不同工作日统计员工出勤率
数据库 · 2026-07-02

如何用SQL编写按不同工作日统计员工出勤率

在实际业务中,统计不同工作日的出勤率是HR系统里的高频需求。如果直接按日期函数分组,很容易掉进语言环境、索引失效或分母口径的坑里。下面就来拆解具体的实现要点。 必须用 CASE WHEN 将日期映射为固定 weekday 标签(如 Mon )再分组,避免语言环境导致的分组断裂;需过滤 DOW IN

Spring Boot 3动态拼接SQL为何引发严重安全漏洞
数据库 · 2026-07-02

Spring Boot 3动态拼接SQL为何引发严重安全漏洞

SQL注入漏洞的核心成因,本质上是因为用户输入直接参与了SQL语句的字符串拼接,而未采用参数化绑定机制。在MyBatis中使用${}、QueryWrapper中调用apply()与last()、JPA的@Query注解进行拼接等操作,都会绕过PreparedStatement的安全防护。动态字段必须