如何将MySQL 5.7用户权限迁移至新服务器并备份相关库表?
- 内容介绍
- 文章标签
- 相关推荐
本文共计998个文字,预计阅读时间需要4分钟。
不能直接 连接
为什么 mysqldump mysql.user 表在 5.7 也不安全
很多人以为“只要版本一致,dump mysql.user 就能直接导入”,实际踩坑频繁。根本原因不是结构变,而是字段行为依赖运行时上下文:
-
password字段在 5.7 是哈希值,但不同 MySQL 编译版本或 patch 级别对old_passwords模式处理不一致,导入后可能密码失效 -
plugin字段若为mysql_native_password,看似没问题,但若目标库启用了skip_name_resolve=OFF(默认),而用户 host 是'user'@'%.example.com',DNS 解析失败会导致权限不匹配 -
account_locked字段在 5.7.6+ 才引入,旧版本目标库无此列,INSERT INTO mysql.user会因字段数不匹配报错ERROR 1136 (21S01): Column count doesn't match value count -
max_questions/max_updates等资源限制字段若为非零值,导入后会意外限流,且不易察觉
正确导出方式:只 dump 权限相关表 + 显式过滤
用 mysqldump 导出权限表是可行的,但必须严格限定表范围、跳过触发器/存储过程,并排除内置账号:
- 执行命令:
mysqldump -u root -p --skip-triggers --compact --no-create-info --where="User NOT IN ('mysql.session','mysql.sys','root')" mysql user db tables_priv columns_priv procs_priv proxies_priv > mysql_grants_57.sql -
--no-create-info防止生成DROP TABLE或CREATE TABLE,避免覆盖目标库系统表结构 -
--where过滤掉系统账号,防止误删或冲突;root建议手工重建,不走自动导入 - 导出后检查文件开头是否有
INSERT INTO `user` VALUES—— 若有,确认每行字段数与目标库DESCRIBE mysql.user输出一致(尤其注意 5.7.6+ 新增字段)
导入前必须做的三件事
导入不是把 SQL 扔进去就完事。5.7 的权限缓存机制要求显式刷新,且残留用户会导致权限叠加:
- 先清理目标库同名用户:
DROP USER 'app_user'@'192.168.%'; DROP USER 'app_user'@'localhost';(不能只删一个,@'host'是独立账户) - 导入时加
SET FOREIGN_KEY_CHECKS = 0;和SET UNIQUE_CHECKS = 0;包裹,否则mysql.procs_priv等表可能因外键约束失败 - 导入完成后**立刻执行**:
FLUSH PRIVILEGES;—— 否则即使mysql.user表写入成功,内存权限缓存也不会更新,用户连得上但查不到库
验证权限是否真正生效
别只信 SHOW GRANTS 输出,它只反映语句层面;要验证实际行为是否一致:
- 用目标用户连接:
mysql -u app_user -p -h new-server-ip -e "SELECT USER(), CURRENT_USER();",确认返回的是app_user@192.168.%而非app_user@localhost(后者说明 host 匹配失败) - 执行
SHOW GRANTS FOR 'app_user'@'192.168.%';,对比源库输出,注意WITH GRANT OPTION是否存在 - 尝试执行一条被授权的操作,比如:
CREATE TABLE test.t1 (id INT);,若报ERROR 1142 (42000): CREATE command denied,说明权限未加载或 host 不匹配 - 查
SELECT User, Host, password FROM mysql.user WHERE User = 'app_user';,确认password字段非空且长度合理(5.7 哈希通常是 41 字符)
最易忽略的一点:导入脚本末尾没加 FLUSH PRIVILEGES;,或者用了普通账号导入导致部分 INSERT 被权限拒绝却没报错——结果是表数据进了,权限没生效,排查时绕一大圈。
本文共计998个文字,预计阅读时间需要4分钟。
不能直接 连接
为什么 mysqldump mysql.user 表在 5.7 也不安全
很多人以为“只要版本一致,dump mysql.user 就能直接导入”,实际踩坑频繁。根本原因不是结构变,而是字段行为依赖运行时上下文:
-
password字段在 5.7 是哈希值,但不同 MySQL 编译版本或 patch 级别对old_passwords模式处理不一致,导入后可能密码失效 -
plugin字段若为mysql_native_password,看似没问题,但若目标库启用了skip_name_resolve=OFF(默认),而用户 host 是'user'@'%.example.com',DNS 解析失败会导致权限不匹配 -
account_locked字段在 5.7.6+ 才引入,旧版本目标库无此列,INSERT INTO mysql.user会因字段数不匹配报错ERROR 1136 (21S01): Column count doesn't match value count -
max_questions/max_updates等资源限制字段若为非零值,导入后会意外限流,且不易察觉
正确导出方式:只 dump 权限相关表 + 显式过滤
用 mysqldump 导出权限表是可行的,但必须严格限定表范围、跳过触发器/存储过程,并排除内置账号:
- 执行命令:
mysqldump -u root -p --skip-triggers --compact --no-create-info --where="User NOT IN ('mysql.session','mysql.sys','root')" mysql user db tables_priv columns_priv procs_priv proxies_priv > mysql_grants_57.sql -
--no-create-info防止生成DROP TABLE或CREATE TABLE,避免覆盖目标库系统表结构 -
--where过滤掉系统账号,防止误删或冲突;root建议手工重建,不走自动导入 - 导出后检查文件开头是否有
INSERT INTO `user` VALUES—— 若有,确认每行字段数与目标库DESCRIBE mysql.user输出一致(尤其注意 5.7.6+ 新增字段)
导入前必须做的三件事
导入不是把 SQL 扔进去就完事。5.7 的权限缓存机制要求显式刷新,且残留用户会导致权限叠加:
- 先清理目标库同名用户:
DROP USER 'app_user'@'192.168.%'; DROP USER 'app_user'@'localhost';(不能只删一个,@'host'是独立账户) - 导入时加
SET FOREIGN_KEY_CHECKS = 0;和SET UNIQUE_CHECKS = 0;包裹,否则mysql.procs_priv等表可能因外键约束失败 - 导入完成后**立刻执行**:
FLUSH PRIVILEGES;—— 否则即使mysql.user表写入成功,内存权限缓存也不会更新,用户连得上但查不到库
验证权限是否真正生效
别只信 SHOW GRANTS 输出,它只反映语句层面;要验证实际行为是否一致:
- 用目标用户连接:
mysql -u app_user -p -h new-server-ip -e "SELECT USER(), CURRENT_USER();",确认返回的是app_user@192.168.%而非app_user@localhost(后者说明 host 匹配失败) - 执行
SHOW GRANTS FOR 'app_user'@'192.168.%';,对比源库输出,注意WITH GRANT OPTION是否存在 - 尝试执行一条被授权的操作,比如:
CREATE TABLE test.t1 (id INT);,若报ERROR 1142 (42000): CREATE command denied,说明权限未加载或 host 不匹配 - 查
SELECT User, Host, password FROM mysql.user WHERE User = 'app_user';,确认password字段非空且长度合理(5.7 哈希通常是 41 字符)
最易忽略的一点:导入脚本末尾没加 FLUSH PRIVILEGES;,或者用了普通账号导入导致部分 INSERT 被权限拒绝却没报错——结果是表数据进了,权限没生效,排查时绕一大圈。