永远不要让任何人（MySQL root帐户除外）访问 系统数据库user中的表mysql ！这很关键。

了解 MySQL 访问权限系统的工作原理（请参阅 第 6.2 节“访问控制和帐户管理”）。使用 GRANTand REVOKE语句控制对 MySQL 的访问。不要授予不必要的特权。永远不要向所有主机授予特权。

清单：

不要在数据库中存储明文密码。如果您的计算机受到威胁，入侵者可以获取完整的密码列表并使用它们。相反，使用 SHA2()或其他一些单向散列函数并存储散列值。

为防止使用彩虹表恢复密码，请不要在普通密码上使用这些功能；相反，选择一些字符串用作盐，并使用散列（散列（密码）+盐）值。

假设所有密码都将受到使用已知密码列表的自动破解尝试的影响，并且还会使用有关您的公开信息（例如社交媒体帖子）进行有针对性的猜测。不要选择由容易破解或猜到的项目组成的密码，例如字典单词、专有名称、运动队名称、首字母缩略词或常用短语，尤其是当它们与您相关时。如果以可预测的方式使用大写字母、数字替换和添加以及特殊字符，这些都无济于事。也不要选择您在任何地方看到的任何密码或其变体，即使它是作为强密码的示例提供的。

相反，选择尽可能长且不可预测的密码。这并不意味着组合必须是难以记忆和重现的随机字符串，尽管如果您有密码管理器软件可以生成和填充此类密码并安全地存储它们，那么这是一个很好的方法。包含多个单词的密码短语易于创建、记忆和复制，并且比由单个修改的单词或可预测的字符序列组成的典型用户选择的密码安全得多。要创建安全密码，请确保其中的单词和其他项目不是已知短语或引语，不会以可预测的顺序出现，

投资防火墙。这可以保护您免受任何软件中至少 50% 的所有类型的攻击。将 MySQL 放在防火墙后面或隔离区 (DMZ) 中。

清单：

Applications that access MySQL should not trust any data entered by users, and should be written using proper defensive programming techniques. See Section 6.1.7, “Client Programming Security Guidelines”.

Do not transmit plain (unencrypted) data over the Internet. This information is accessible to everyone who has the time and ability to intercept it and use it for their own purposes. Instead, use an encrypted protocol such as SSL or SSH. MySQL supports internal SSL connections. Another technique is to use SSH port-forwarding to create an encrypted (and compressed) tunnel for the communication.

Learn to use the tcpdump and strings utilities. In most cases, you can check whether MySQL data streams are unencrypted by issuing a command like the following:

$> tcpdump -l -i eth0 -w - src or dst port 3306 | strings

This works under Linux and should work with small modifications under other systems.