创建最小权限账号需先CREATE USER再GRANTstrict模式下漏USAGE会报错1410localhost仅匹配socket连接TCP需用IP段FLUSH PRIVILEGES非DCL必需程序连接参数如multi_statements可能触发隐式权限检查失败。创建最小权限账号时GRANT 语句漏掉 USAGE 会直接失败MySQL 5.7 默认启用 sql_modeSTRICT_TRANS_TABLES新建账号不显式赋予 USAGE 权限后续 GRANT 会报错 ERROR 1410 (42000): You are not allowed to create a user with GRANT。这不是权限不足而是语法层面被拒绝。必须先用 CREATE USER 创建账号哪怕只是空密码再 GRANTGRANT 之前不执行 CREATE USERMySQL 会试图在 GRANT 中隐式建用户——这在 strict 模式下禁用程序账号不需要登录 shell所以 PASSWORD EXPIRE 和 ACCOUNT LOCK 是安全加分项正确流程CREATE USER app_rw10.20.30.% IDENTIFIED BY xxx PASSWORD EXPIRE ACCOUNT LOCK;brGRANT SELECT, INSERT, UPDATE ON mydb.* TO app_rw10.20.30.%;brFLUSH PRIVILEGES;连接字符串里写死 localhost 却用 TCP 连接权限永远不生效MySQL 的 userhost 中 host 部分区分 Unix socket 和 TCP当应用通过 127.0.0.1 或具体 IP 连接时匹配的是 user% 或 user10.20.30.%不是 userlocalhost。后者只响应本地 socket 连接。确认程序实际连接方式netstat -tnp | grep :3306 看源 IP 是 127.0.0.1 还是 ::1 还是真实内网 IP避免用 userlocalhost 配置程序账号除非明确走 socket且程序配置了 host/var/run/mysqld/mysqld.sock如果程序部署在容器或不同机器host 必须写成具体 IP 段、域名或谨慎使用 %配合防火墙限制FLUSH PRIVILEGES 不是每次改权限都必须执行只有通过直接操作 mysql.user 等系统表修改权限时才需要 FLUSH PRIVILEGES用 CREATE USER/GRANT/DROP USER 这些 DCL 语句MySQL 自动重载权限缓存。 通义听悟 阿里云通义听悟是聚焦音视频内容的工作学习AI助手依托大模型帮助用户记录、整理和分析音视频内容体验用大模型做音视频笔记、整理会议记录。