账号与授权最小化

原则

• 应用账号：仅 业务库 所需 DML；禁止 DROP、SUPER 等。
• 人：DBA 与开发分账号；离职 DROP USER。
• 复制账号：仅 REPLICATION SLAVE 等必要权限。

定期审计

SELECT user, host FROM mysql.user;
SHOW GRANTS FOR 'app'@'%';

密码

• 强密码、轮换策略；连接串 不进代码仓库，用密钥管理。