游乐游手机版
首页/数据库/文章详情

MySQL 8.0推荐新caching_sha2_password插件的原因

时间:2026-07-19 08:05
MySQL8 0默认采用caching_sha2_password替代mysql_native_password,后者无盐值易被重放攻击。新插件用随机盐、5000轮SHA256迭代及RSA加密,缓存仅加速验证不影响安全。兼容问题因客户端版本过低。

MySQL 8.0默认的认证插件是caching_sha2_password,这不是什么推荐选项,而是直接取代了mysql_native_password。为什么这么决绝?因为老家伙在安全上已经彻底站不住了。如果你还在用mysql_native_password,现在真得认真想想——它用的是SHA1(SHA1(password))存储,连个盐值都不加。这意味着什么?同一密码会产生完全相同的哈希值,在mysql.user表里扫一眼,哪些账号共用密码一目了然,GPU跑几分钟就能把常见密码字典扫完,几乎等于裸奔。更致命的是,握手阶段的challenge-response数据可以被截获重放,即使在内网或跳板机场景,如果没强制SSL,漏洞清晰可见。

为什么MySQL 8.0推荐使用新的caching_sha2_password插件?

它解决的是真实被利用的漏洞,不是理论风险

而新插件caching_sha2_password则强行引入了三个硬核防护:每个用户生成独立20字节随机salt,写入authentication_string的前缀;密码哈希不再是简单SHA1重复,而是SHA256(salt + password),再迭代5000轮SHA256;非SSL连接下,必须通过服务器RSA公钥加密传输中间值,这需要客户端显式允许allowPublicKeyRetrieval=true。这简直是给密码加了铜墙铁壁,老漏洞一个都别想进来。

它的“caching”只加速验证,不降低安全水平

名字里的“caching”不是吹的——它指的是服务端内存缓存已验证的凭据对,仅用于短时间内的重复连接复用。首次连接耗时跟sha256_password一样,都需要做那5000轮SHA256运算;但缓存命中时,耗时能下降60%到80%,TTL默认300秒,重启就失效。重要的是,缓存里不存明文,不存原始哈希,只存一次校验通过后的会话标识。安全水平不但没降,反而因为严格的校验流程,得到进一步加固。必须警惕的是,它只管用户身份的合法性,并不干预SQL执行的危险性。哪怕你用caching_sha2_password登录成功,拼接字符串的查询照样会被注入——这跟插件毫无关系。

兼容性问题不是插件的缺陷,而是客户端没走对协议路径

很多人遇到Public Key Retrieval is not allowedUnknown system variable 'caching_sha2_password'的报错,就觉得插件有问题。其实问题出在客户端身上:JDBC驱动版本低于8.0.9,不支持RSA密钥交换流程;Na vicat ≤ 12.1还沿用旧版libmysqlclient,无法处理公钥协商;PHP的mysqliPDO_MySQL扩展至今(2026年)仍未原生支持这个插件;Docker容器里client lib版本滞后的情况也很常见,比如Ubuntu 20.04自带的MySQL client低于8.0.28。真正容易被忽略的点是:这个插件和SQL注入完全无关,它只管你是不是合法用户,不管你执行的SQL是否危险。这是必须提前说明的事实。

来源:https://www.php.cn/faq/2812744.html
上一篇慢速网络下Oracle客户端SQLNet响应速度优化方法 下一篇MySQL 8.0安装后初始随机密码无法登录的解决方法
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
利用AWR报告诊断表空间碎片对扫描性能的影响
数据库 · 2026-07-19

利用AWR报告诊断表空间碎片对扫描性能的影响

通过AWR报告中dbfilesequentialread等待异常、物理读请求次数增幅远超读块数、以及SQL执行计划从索引扫描退化为全表扫描这三类信号交叉验证,可判断表空间碎片是否拖慢扫描性能,避免误判。

MySQL第三方审计系统只读系统视图权限配置方法
数据库 · 2026-07-19

MySQL第三方审计系统只读系统视图权限配置方法

为审计账号配置MySQL只读权限时,performance_schema必须逐表显式授权,不可使用* *或库级批量授权;认证插件必须指定mysql_native_password;无法通过视图封装,必须直接授权原始表。这是审计账号配置的关键注意事项,必须严格遵守,并遵循最小权限原则。

Navicat团队项目自定义图标背景色设置方法
数据库 · 2026-07-19

Navicat团队项目自定义图标背景色设置方法

Navicat中设置团队项目图标背景色实为两个独立配置:模型图节点颜色需手动修改navicat ini文件并完全重启;SQL编辑器及主窗口背景色通过主题设置。版本一致、配置路径准确、激活ERD模式是效果一致的关键。修改后必须彻底退出程序。

SQL嵌套查询中如何有效利用索引覆盖提升性能
数据库 · 2026-07-19

SQL嵌套查询中如何有效利用索引覆盖提升性能

SQL嵌套查询中,子查询字段未被索引覆盖会导致全表扫描,而外层EXPLAIN的Usingindex可能误导优化。需为子查询过滤字段建索引,联合索引将SELECT字段包含在内且顺序正确。PostgreSQL可用INCLUDE或组合索引,MySQL8 0+支持函数索引,物化视图需手动建索引并刷新统计信息。

SQL窗口函数快速查找用户多设备登录顺序
数据库 · 2026-07-19

SQL窗口函数快速查找用户多设备登录顺序

使用ROW_NUMBER()配合PARTITIONBYuser_id和ORDERBYlogin_time,可快速按用户分组并排序登录顺序。漏掉PARTITIONBY会导致全局编号,且必须用ROW_NUMBER()保证编号连续,避免RANK()或DENSE_RANK()的跳号问题。区分首次登录可嵌套MIN()窗口函数。老版本MySQL用变量模拟易出错,建议升级