5.MySQL字符集和权限安全

字符集--应用显示乱码

1、使用gbk编码，gbk连接，数据插入
gbk查询都正常输出，utf8查询正常输出。
2、使用gbk编码，utf8连接，数据插入
utf8查询输出乱码，gbk查询输出乱码。
3、使用utf8编码，gbk连接，数据插入
gbk查询代码异常（'gbk' codec can't decode bytes in position），utf8查询乱码。
4、使用utf8编码，utf8连接，数据插入
utf8查询输出正常，gbk查询输出、正常。

字符集--client显示乱码

查看Session的字符集

show variables like '%char%';

设置Session的字符集

set names [期望字符集]

乱码原因

数据本身乱码
client字符集和字符编码不一致

字符集--数据迁移

utf8 表--> utf8表
gbk 表--> utf8表
utf8 表--> gbk表
utf8表 --> latin1表
gbk表 --> latin1表

字符集--备份恢复

既有utf8表，又有gbk表时，使用binary备份恢复。
字符集变更使用逻辑备份恢复方式，DDL可能导致数据丢失。
跨版本升级采用逻辑备份恢复。

字符集 -- 规范化

统一一种字符集

避免开发混乱
避免DB数据乱码
便于规模化运维

国际化

使用unicode（utf8）
utf8mb4 --> utf8

权限安全 -- 权限管理

空密码、弱密码：全部清理，随机生成密码。
明文密码：统一配置管理，获取用户密码。白屏化，操作流程化
最小权限原则：开放最小DB访问权限，最小系统权限，满足需求即可。
管理和应用分离： DBA管理和应用账号严格分离，不同应用单独账号。
历史操作：删除数据库相关的历史操作记录。cat /dev/null > ~/.mysql_history

权限安全 -- 强制访问控制

强制访问控制（MAC）是系统强制主体服从访问控制策略。与自主访问控制（DAC）基于系统实体身份及其到系统资源的接入授权方式，共同保证用户的权限。
实现策略：
1、创建系统表定义用户的强制访问权限管理表。
2、修改用户认证逻辑在sql_acl.cc中修改用户验证逻辑，检查强制访问权限管理表，是否符合用户认证要求。

权限安全 -- 安全审计

审计用户行为
审计操作内容

权限安全 -- 网络安全

SSL安全套接字加密传输
MySQL数据库内网访问
跨区域网络隔离

参考资料

1、《Globalization》
http://dev.mysql.com/doc/refman/5.5/en/globalization.html
2、《Security》
http://dev.mysql.com/doc/refman/5.5/en/security.html
3、《MySQL Security Best Practices》
http://www.greensql.com/content/mysql-security-best-practices-hardening-mysql-tips
4、《Security in MySQL》
http://downloads.mysql.com/docs/mysql-security-excerpt-5.1-en.pdf
5、《Development and Implementation of Mandatory Access Control Policy for RDBMS MySQL 》
http://www.slideshare.net/dnkolegov/kolegov-phdaysys2013eng
6、《Answers: unix - implementation of mandatory access control in mysql 》
http://www.windowslinuxosx.com/q/answers-implementation-of-mandatory-access-control-in-mysql-724059.html
7、《MySQL Enterprise Audit》
http://www.mysql.com/products/enterprise/audit.html
8、《Writing Audit Plugins》
http://docs.oracle.com/cd/E17952_01/refman-5.5-en/writing-audit-plugins.html
9、《MySQL Audit Plugin now available in Percona Server 5.5 and 5.6》
http://www.mysqlperformanceblog.com/2014/05/07/mysql-audit-plugin-now-available-in-percona-server-5-5-and-5-6/
10、《mcafee/mysql-audit》
https://github.com/mcafee/mysql-audit
11、《HengWang/mysql-audit》
https://github.com/HengWang/mysql-audit

最后编辑于：2017.12.03 05:38:39

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 205,386评论 6赞 479
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 87,939评论 2赞 381
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 151,851评论 0赞 341
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 54,953评论 1赞 278
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 63,971评论 5赞 369
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,784评论 1赞 283
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 38,126评论 3赞 399
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,765评论 0赞 258
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 43,148评论 1赞 300
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,744评论 2赞 323
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,858评论 1赞 333
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,479评论 4赞 322
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 39,080评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 30,053评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,278评论 1赞 260
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 45,245评论 2赞 352
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,590评论 2赞 343