切勿授予任何人（MySQL root 帐户除外）访问 mysql 系统数据库中 user 表的权限！ 这一点至关重要。

了解 MySQL 访问权限系统的工作原理（请参阅 第 8.2 节 “访问控制和帐户管理”）。使用 GRANT 和 REVOKE 语句来控制对 MySQL 的访问。不要授予不必要的权限。切勿将权限授予所有主机。

检查清单

不要在数据库中存储明文密码。如果您的计算机遭到入侵，入侵者可以获取完整的密码列表并使用它们。请使用 SHA2() 或其他某种单向哈希函数来存储哈希值。

为了防止使用彩虹表恢复密码，请勿对明文密码使用这些函数；而应选择一些字符串用作盐，并使用 hash(hash(password)+salt) 值。

假设所有密码都将受到使用已知密码列表进行的自动破解尝试，以及使用有关您的公开信息（例如社交媒体帖子）进行的有针对性的猜测。不要选择由容易破解或猜测的项目组成的密码，例如字典单词、专有名词、运动队名称、首字母缩略词或常用短语，特别是如果它们与您相关的话。即使以可预测的方式使用大写字母、数字替换和添加以及特殊字符也无济于事。此外，也不要选择您在任何地方看到用作示例的任何密码或其变体，即使它是作为强密码的示例提供的。

相反，请选择尽可能长且不可预测的密码。这并不意味着组合必须是难以记忆和重现的随机字符串，尽管如果您有密码管理器软件可以生成和填写此类密码并安全存储它们，这是一个好方法。包含多个单词的密码短语易于创建、记忆和重现，并且比由单个修改过的单词或可预测的字符序列组成的典型用户选择的密码安全得多。要创建安全的密码短语，请确保其中的单词和其他项目不是已知的短语或引用，不要以可预测的顺序出现，并且最好彼此之间没有任何先前的关系。

投资防火墙。这可以保护您免受任何软件中至少 50% 的所有类型的攻击。将 MySQL 置于防火墙后面或非军事区 (DMZ) 中。

检查清单

访问 MySQL 的应用程序不应信任用户输入的任何数据，并且应使用适当的防御性编程技术编写。请参阅第 8.1.7 节“客户端编程安全指南”。

不要通过互联网传输明文（未加密）数据。这些信息可供所有有时间和能力拦截并将其用于自身目的的人使用。相反，请使用加密协议，例如 SSL 或 SSH。MySQL 支持内部 SSL 连接。另一种技术是使用 SSH 端口转发为通信创建一个加密（和压缩）隧道。

学习使用 tcpdump 和 strings 实用程序。在大多数情况下，您可以通过发出如下命令来检查 MySQL 数据流是否未加密

$> tcpdump -l -i eth0 -w - src or dst port 3306 | strings

这适用于 Linux，并且稍作修改即可在其他系统下使用。