遵循最小权限原则，合理配置MySQL用户权限，限制访问来源IP，定期审查账户与权限分配，使用角色简化管理，禁用匿名账户，避免高危权限滥用，确保数据库安全。

MySQL权限配置的合理优化能有效降低安全风险，防止数据泄露或越权操作。核心思路是遵循最小权限原则，限制用户访问范围，定期审查权限分配。

遵循最小权限原则

只授予用户完成其任务所必需的最低权限，避免使用超级权限账户处理日常操作。

• 普通应用账号无需SUPER、FILE、PROCESS等高危权限
• 使用SELECT、INSERT、UPDATE、DELETE等具体权限代替ALL PRIVILEGES
• 例如：为Web应用创建专用账号并限制权限
  GRANT SELECT, INSERT, UPDATE ON app_db.* TO 'webuser'@'192.168.1.%';

限制访问来源IP

通过限定用户登录的主机地址，减少被远程攻击的可能性。

• 避免使用'%'通配符允许任意IP连接
• 明确指定可信IP段，如'appserver.local'或'10.0.1.%'
• 数据库管理账号应仅允许从内网跳板机或DBA工作站访问

定期审查与清理权限

长期未使用的账户或过期权限可能成为安全隐患。

• 定期运行SELECT user, host FROM mysql.user;检查账户列表
• 使用SHOW GRANTS FOR 'username'@'host';查看具体权限
• 删除不再需要的用户：DROP USER 'old_user'@'%';
• 禁用匿名账户：DROP USER IF EXISTS ''@'localhost';

使用角色简化管理（MySQL 8.0+）

通过角色集中管理权限，提升配置一致性与维护效率。

• 创建角色并赋予权限：CREATE ROLE 'app_reader', 'app_writer';
• 统一授权给角色，再将角色分配给用户
• 权限变更时只需调整角色，无需逐个修改用户

基本上就这些。关键在于持续保持权限配置的清晰和克制，不因方便而牺牲安全。