MySQL 8.4 發行說明
本節說明大多數 MySQL 用戶端程式支援的選項,這些選項控制用戶端程式如何建立與伺服器的連線、連線是否加密以及連線是否壓縮。這些選項可以在命令列或選項檔案中給定。
本節說明控制用戶端程式如何建立與伺服器連線的選項。如需其他資訊和顯示如何使用這些選項的範例,請參閱第 6.2.4 節「使用命令選項連接 MySQL 伺服器」。
表格 6.4 連線建立選項摘要
| 選項名稱 | 描述 |
|---|---|
| --default-auth | 要使用的驗證外掛程式 |
| --host | MySQL 伺服器所在的電腦 |
| --password | 連接伺服器時要使用的密碼 |
| --password1 | 連接伺服器時要使用的第一個多重驗證密碼 |
| --password2 | 連接伺服器時要使用的第二個多重驗證密碼 |
| --password3 | 連接伺服器時要使用的第三個多重驗證密碼 |
| --pipe | 使用具名管道連線至伺服器(僅限 Windows) |
| --plugin-dir | 安裝外掛程式的目錄 |
| --port | 連線的 TCP/IP 通訊埠號碼 |
| --protocol | 要使用的傳輸協定 |
| --shared-memory-base-name | 用於共用記憶體連線的共用記憶體名稱(僅限 Windows) |
| --socket | 要使用的 Unix Socket 檔案或 Windows 具名管道 |
| --user | 連接伺服器時要使用的 MySQL 使用者名稱 |
-
命令列格式 --default-auth=plugin類型 字串 關於要使用哪個用戶端驗證外掛程式的提示。請參閱第 8.2.17 節「可插拔驗證」。
--host=,host_name-hhost_name命令列格式 --host=host_name類型 字串 預設值 localhost執行 MySQL 伺服器的主機。該值可以是主機名稱、IPv4 位址或 IPv6 位址。預設值為
localhost。--password[=,pass_val]-p[pass_val]命令列格式 --password[=password]類型 字串 預設值 [無]用於連接伺服器的 MySQL 帳戶密碼。密碼值為選用。如果未給定,用戶端程式會提示輸入。如果給定,
--password=或-p與其後的密碼之間不得有空格。如果未指定密碼選項,預設值為不傳送密碼。在命令列上指定密碼應被視為不安全。為了避免在命令列上給定密碼,請使用選項檔案。請參閱第 8.1.2.1 節「密碼安全性的最終使用者指南」。
若要明確指定沒有密碼,且用戶端程式不應提示輸入密碼,請使用
--skip-password選項。-
命令列格式 --password1[=password]類型 字串 用於連接伺服器的 MySQL 帳戶多重驗證因數 1 的密碼。密碼值為選用。如果未給定,用戶端程式會提示輸入。如果給定,
--password1=與其後的密碼之間不得有空格。如果未指定密碼選項,預設值為不傳送密碼。在命令列上指定密碼應被視為不安全。為了避免在命令列上給定密碼,請使用選項檔案。請參閱第 8.1.2.1 節「密碼安全性的最終使用者指南」。
若要明確指定沒有密碼,且用戶端程式不應提示輸入密碼,請使用
--skip-password1選項。--password1和--password是同義詞,--skip-password1和--skip-password也是同義詞。 -
命令列格式 --password2[=password]類型 字串 用於連線到伺服器的 MySQL 帳戶的多因素驗證因素 2 的密碼。此選項的語意與
--password1的語意相似;詳細資訊請參閱該選項的說明。 -
命令列格式 --password3[=password]類型 字串 用於連線到伺服器的 MySQL 帳戶的多因素驗證因素 3 的密碼。此選項的語意與
--password1的語意相似;詳細資訊請參閱該選項的說明。 --pipe,-W命令列格式 --pipe類型 字串 在 Windows 上,使用具名管道連線到伺服器。只有在伺服器啟動時啟用了
named_pipe系統變數以支援具名管道連線時,此選項才適用。此外,進行連線的使用者必須是named_pipe_full_access_group系統變數指定的 Windows 群組的成員。-
命令列格式 --plugin-dir=dir_name類型 目錄名稱 要在其中尋找外掛程式的目錄。如果使用
--default-auth選項來指定身份驗證外掛程式,但用戶端程式找不到該外掛程式時,請指定此選項。請參閱 第 8.2.17 節,「可插拔身份驗證」。 --port=,port_num-Pport_num命令列格式 --port=port_num類型 數值 預設值 3306對於 TCP/IP 連線,要使用的連接埠號碼。預設連接埠號碼是 3306。
--protocol={TCP|SOCKET|PIPE|MEMORY}命令列格式 --protocol=type類型 字串 預設值 [請參閱文字]有效值 TCPSOCKETPIPEMEMORY此選項明確指定要用於連線到伺服器的傳輸協定。當其他連線參數通常導致使用您不想要的協定時,它很有用。例如,在 Unix 上連線到
localhost預設是使用 Unix socket 檔案進行連線mysql --host=localhost若要強制使用 TCP/IP 傳輸,請指定
--protocol選項mysql --host=localhost --protocol=TCP下表顯示允許的
--protocol選項值,並指出每個值的適用平台。這些值不區分大小寫。--protocol值使用的傳輸協定 適用平台 TCPTCP/IP 傳輸至本機或遠端伺服器 所有 SOCKETUnix socket 檔案傳輸至本機伺服器 Unix 和類 Unix 系統 PIPE具名管道傳輸至本機伺服器 Windows MEMORY共用記憶體傳輸至本機伺服器 Windows 另請參閱 第 6.2.7 節,「連線傳輸協定」
--shared-memory-base-name=name命令列格式 --shared-memory-base-name=name平台特定 Windows 在 Windows 上,使用共用記憶體連線到本機伺服器時要使用的共用記憶體名稱。預設值為
MYSQL。共用記憶體名稱區分大小寫。只有在伺服器啟動時啟用了
shared_memory系統變數以支援共用記憶體連線時,此選項才適用。--socket=,path-Spath命令列格式 --socket={file_name|pipe_name}類型 字串 在 Unix 上,使用具名管道連線到本機伺服器時要使用的 Unix socket 檔案名稱。預設的 Unix socket 檔案名稱是
/tmp/mysql.sock。在 Windows 上,用於連線到本機伺服器的具名管道名稱。預設的 Windows 管道名稱是
MySQL。管道名稱不區分大小寫。在 Windows 上,只有在伺服器啟動時啟用了
named_pipe系統變數以支援具名管道連線時,此選項才適用。此外,進行連線的使用者必須是named_pipe_full_access_group系統變數指定的 Windows 群組的成員。--user=,user_name-uuser_name命令列格式 --user=user_name類型 字串 用於連線到伺服器的 MySQL 帳戶的使用者名稱。預設的使用者名稱在 Windows 上是
ODBC,在 Unix 上是您的 Unix 登入名稱。
本節說明用戶端程式的選項,這些選項指定是否使用加密連線到伺服器、憑證和金鑰檔案的名稱,以及與加密連線支援相關的其他參數。如需建議用法以及如何檢查連線是否已加密的範例,請參閱 第 8.3.1 節,「設定 MySQL 以使用加密連線」。
注意
這些選項僅對使用受加密約束的傳輸協定的連線有效;也就是說,TCP/IP 和 Unix socket 檔案連線。請參閱 第 6.2.7 節,「連線傳輸協定」
如需有關從 MySQL C API 使用加密連線的資訊,請參閱 支援加密連線。
表 6.5 連線加密選項摘要
| 選項名稱 | 描述 |
|---|---|
| --get-server-public-key | 從伺服器請求 RSA 公開金鑰 |
| --server-public-key-path | 包含 RSA 公開金鑰的檔案路徑名稱 |
| --ssl-ca | 包含受信任 SSL 憑證授權單位清單的檔案 |
| --ssl-capath | 包含受信任 SSL 憑證授權單位憑證檔案的目錄 |
| --ssl-cert | 包含 X.509 憑證的檔案 |
| --ssl-cipher | 連線加密允許的加密法 |
| --ssl-crl | 包含憑證撤銷清單的檔案 |
| --ssl-crlpath | 包含憑證撤銷清單檔案的目錄 |
| --ssl-fips-mode | 是否在用戶端啟用 FIPS 模式 |
| --ssl-key | 包含 X.509 金鑰的檔案 |
| --ssl-mode | 與伺服器連線的所需安全性狀態 |
| --ssl-session-data | 包含 SSL 工作階段資料的檔案 |
| --ssl-session-data-continue-on-failed-reuse | 如果工作階段重新使用失敗是否建立連線 |
| --tls-ciphersuites | 加密連線允許的 TLSv1.3 加密套件 |
| --tls-version | 加密連線允許的 TLS 協定 |
-
命令列格式 --get-server-public-key類型 布林值 從伺服器請求 RSA 金鑰配對密碼交換所需的公開金鑰。此選項適用於使用
caching_sha2_password身份驗證外掛程式進行身份驗證的用戶端。對於該外掛程式,除非請求,否則伺服器不會傳送公開金鑰。對於不使用該外掛程式進行身份驗證的帳戶,此選項會被忽略。如果未使用基於 RSA 的密碼交換(當用戶端使用安全連線連線到伺服器時就是這種情況),也會忽略此選項。如果給定
--server-public-key-path=並指定有效的公開金鑰檔案,則其優先於file_name--get-server-public-key。如需有關
caching_sha2_password外掛程式的資訊,請參閱 第 8.4.1.2 節,「快取 SHA-2 可插拔身份驗證」。 --server-public-key-path=file_name命令列格式 --server-public-key-path=file_name類型 檔案名稱 PEM 格式的檔案路徑名稱,其中包含伺服器 RSA 金鑰配對密碼交換所需的公開金鑰的用戶端副本。此選項適用於使用
sha256_password(已棄用)或caching_sha2_password身份驗證外掛程式進行身份驗證的用戶端。對於不使用其中一個外掛程式進行身份驗證的帳戶,此選項會被忽略。如果未使用基於 RSA 的密碼交換(當用戶端使用安全連線連線到伺服器時就是這種情況),也會忽略此選項。如果給定
--server-public-key-path=並指定有效的公開金鑰檔案,則其優先於file_name--get-server-public-key。只有在使用 OpenSSL 建置 MySQL 時,此選項才可用。
如需有關
sha256_password(已棄用)和caching_sha2_password外掛程式的資訊,請參閱 第 8.4.1.3 節,「SHA-256 可插拔身份驗證」 和 第 8.4.1.2 節,「快取 SHA-2 可插拔身份驗證」。-
命令列格式 --ssl-ca=file_name類型 檔案名稱 憑證授權單位 (CA) 憑證檔案的路徑名稱,格式為 PEM。該檔案包含信任的 SSL 憑證授權單位清單。
若要告知客戶端在建立與伺服器的加密連線時不驗證伺服器憑證,請不要指定
--ssl-ca或--ssl-capath。伺服器仍會根據為客戶端帳戶建立的任何適用要求來驗證客戶端,並且仍然會使用伺服器端指定的任何ssl_ca或ssl_capath系統變數值。若要指定伺服器的 CA 檔案,請設定
ssl_ca系統變數。 -
命令列格式 --ssl-capath=目錄名稱類型 目錄名稱 包含 PEM 格式的信任 SSL 憑證授權單位 (CA) 憑證檔案的目錄路徑名稱。
若要告知客戶端在建立與伺服器的加密連線時不驗證伺服器憑證,請不要指定
--ssl-ca或--ssl-capath。伺服器仍會根據為客戶端帳戶建立的任何適用要求來驗證客戶端,並且仍然會使用伺服器端指定的任何ssl_ca或ssl_capath系統變數值。若要指定伺服器的 CA 目錄,請設定
ssl_capath系統變數。 -
命令列格式 --ssl-cert=檔案名稱類型 檔案名稱 用戶端 SSL 公開金鑰憑證檔案的路徑名稱,格式為 PEM。支援鏈結的 SSL 憑證。
若要指定伺服器 SSL 公開金鑰憑證檔案,請設定
ssl_cert系統變數。 -
命令列格式 --ssl-cipher=名稱類型 字串 使用 TLS 協定(直到 TLSv1.2)連線允許的加密密碼清單。如果清單中沒有任何支援的密碼,則使用這些 TLS 協定的加密連線將無法運作。
為了獲得最大的可移植性,
cipher_list應該是一個或多個以冒號分隔的密碼名稱清單。範例--ssl-cipher=AES128-SHA --ssl-cipher=DHE-RSA-AES128-GCM-SHA256:AES128-SHAOpenSSL 支援在 OpenSSL 文件 https://www.openssl.org/docs/manmaster/man1/ciphers.html 中描述的指定密碼語法。
有關 MySQL 支援哪些加密密碼的資訊,請參閱第 8.3.2 節,「加密連線 TLS 協定和密碼」。
若要指定伺服器的加密密碼,請設定
ssl_cipher系統變數。 -
命令列格式 --ssl-crl=檔案名稱類型 檔案名稱 包含 PEM 格式的憑證撤銷清單的檔案路徑名稱。
如果未提供
--ssl-crl或--ssl-crlpath,則不會執行任何 CRL 檢查,即使 CA 路徑包含憑證撤銷清單也是如此。若要指定伺服器的撤銷清單檔案,請設定
ssl_crl系統變數。 -
命令列格式 --ssl-crlpath=目錄名稱類型 目錄名稱 包含 PEM 格式的憑證撤銷清單檔案的目錄路徑名稱。
如果未提供
--ssl-crl或--ssl-crlpath,則不會執行任何 CRL 檢查,即使 CA 路徑包含憑證撤銷清單也是如此。若要指定伺服器的撤銷清單目錄,請設定
ssl_crlpath系統變數。 --ssl-fips-mode={OFF|ON|STRICT}命令列格式 --ssl-fips-mode={OFF|ON|STRICT}已棄用 是 類型 列舉 預設值 OFF有效值 OFFONSTRICT控制是否在客戶端啟用 FIPS 模式。
--ssl-fips-mode選項與其他--ssl-選項不同,它不是用於建立加密連線,而是用於影響允許哪些密碼編譯操作。請參閱第 8.8 節,「FIPS 支援」。xxx這些
--ssl-fips-mode值是允許的OFF:停用 FIPS 模式。ON:啟用 FIPS 模式。STRICT:啟用「嚴格」FIPS 模式。
注意如果 OpenSSL FIPS 物件模組不可用,則
--ssl-fips-mode唯一允許的值為OFF。在這種情況下,將--ssl-fips-mode設定為ON或STRICT會導致客戶端在啟動時產生警告,並在非 FIPS 模式下運作。若要指定伺服器的 FIPS 模式,請設定
ssl_fips_mode系統變數。-
命令列格式 --ssl-key=檔案名稱類型 檔案名稱 用戶端 SSL 私人金鑰檔案的路徑名稱,格式為 PEM。為了獲得更好的安全性,請使用 RSA 金鑰大小至少為 2048 位元的憑證。
如果金鑰檔案受密碼保護,則客戶端程式會提示使用者輸入密碼。必須以互動方式給定密碼;它不能儲存在檔案中。如果密碼不正確,則程式會繼續執行,就像無法讀取金鑰一樣。
若要指定伺服器 SSL 私人金鑰檔案,請設定
ssl_key系統變數。 -
命令列格式 --ssl-mode=模式類型 列舉 預設值 PREFERRED有效值 DISABLEDPREFERREDREQUIREDVERIFY_CAVERIFY_IDENTITY此選項指定與伺服器連線的所需安全狀態。這些模式值是允許的,按嚴格程度遞增排序
DISABLED:建立未加密的連線。PREFERRED:如果伺服器支援加密連線,則建立加密連線;如果無法建立加密連線,則返回未加密的連線。如果未指定--ssl-mode,則這是預設值。透過 Unix socket 檔案的連線不會使用
PREFERRED模式進行加密。若要強制執行 Unix socket 檔案連線的加密,請使用REQUIRED或更嚴格的模式。(但是,socket 檔案傳輸預設是安全的,因此加密 socket 檔案連線不會使其更安全,反而會增加 CPU 負載。)REQUIRED:如果伺服器支援加密連線,則建立加密連線。如果無法建立加密連線,則連線嘗試會失敗。VERIFY_CA:類似於REQUIRED,但另外會根據已設定的 CA 憑證驗證伺服器憑證授權單位 (CA) 憑證。如果找不到有效的相符 CA 憑證,則連線嘗試會失敗。VERIFY_IDENTITY:類似於VERIFY_CA,但另外會執行主機名稱身分驗證,方法是檢查客戶端用於連線到伺服器的主機名稱,是否與伺服器傳送給客戶端的憑證中的身分相符如果客戶端使用 OpenSSL 1.0.2 或更高版本,則客戶端會檢查其用於連線的主機名稱是否與伺服器憑證中的「主體替代名稱」值或「通用名稱」值相符。主機名稱身分驗證也適用於使用萬用字元指定通用名稱的憑證。
否則,客戶端會檢查其用於連線的主機名稱是否與伺服器憑證中的「通用名稱」值相符。
如果不符,則連線會失敗。對於加密連線,此選項有助於防止中間人攻擊。
注意使用
VERIFY_IDENTITY的主機名稱身分驗證不適用於伺服器自動建立的自我簽署憑證(請參閱第 8.3.3.1 節,「使用 MySQL 建立 SSL 和 RSA 憑證和金鑰」)。此類自我簽署憑證不包含伺服器名稱作為通用名稱值。
重要事項如果其他預設設定保持不變,則預設設定
--ssl-mode=PREFERRED會產生加密連線。但是,為了幫助防止複雜的中間人攻擊,客戶端驗證伺服器的身分非常重要。設定--ssl-mode=VERIFY_CA和--ssl-mode=VERIFY_IDENTITY比預設設定更好,有助於防止這種類型的攻擊。若要實作其中一個設定,您必須先確保伺服器的 CA 憑證可供環境中所有使用它的客戶端可靠地使用,否則會導致可用性問題。基於這個原因,它們不是預設設定。--ssl-mode選項與 CA 憑證選項的互動方式如下如果未明確設定
--ssl-mode,則使用--ssl-ca或--ssl-capath意味著--ssl-mode=VERIFY_CA。對於
--ssl-mode值為VERIFY_CA或VERIFY_IDENTITY,也需要--ssl-ca或--ssl-capath,以提供與伺服器使用的 CA 憑證相符的憑證。明確的
--ssl-mode選項的值不是VERIFY_CA或VERIFY_IDENTITY,以及明確的--ssl-ca或--ssl-capath選項,會產生警告,指出儘管指定了 CA 憑證選項,但不會執行伺服器憑證的驗證。
若要要求 MySQL 帳戶使用加密連線,請使用
CREATE USER使用REQUIRE SSL子句建立帳戶,或使用ALTER USER為現有帳戶新增REQUIRE SSL子句。這會導致使用該帳戶的客戶端連線嘗試被拒絕,除非 MySQL 支援加密連線並且可以建立加密連線。REQUIRE子句允許其他與加密相關的選項,這些選項可用於強制執行比REQUIRE SSL更嚴格的安全要求。有關使用各種REQUIRE選項設定的帳戶連線的客戶端可能或必須指定哪些命令選項的其他詳細資訊,請參閱CREATE USER SSL/TLS 選項。 -
命令列格式 --ssl-session-data=檔案名稱類型 檔案名稱 用於工作階段重複使用的用戶端 SSL 工作階段資料檔案路徑名稱,格式為 PEM。
當您使用
--ssl-session-data選項調用 MySQL 客戶端程式時,如果提供了檔案,客戶端會嘗試從該檔案反序列化會話資料,然後使用它來建立新的連線。如果您提供了檔案,但會話沒有被重用,則連線會失敗,除非您在調用客戶端程式時,同時在命令列上指定了--ssl-session-data-continue-on-failed-reuse選項。mysql 命令
ssl_session_data_print會產生會話資料檔案(請參閱第 6.5.1.2 節,「mysql 客戶端命令」)。 ssl-session-data-continue-on-failed-reuse命令列格式 --ssl-session-data-continue-on-failed-reuse類型 布林值 預設值 OFF控制是否在嘗試重用
--ssl-session-data命令列選項指定的會話資料但失敗後,啟動新的連線來取代該嘗試的連線。預設情況下,--ssl-session-data-continue-on-failed-reuse命令列選項是關閉的,這會導致當提供會話資料但沒有重用時,客戶端程式返回連線失敗。為了確保在會話重用失敗後,可以靜默地開啟一個新的、不相關的連線,請使用
--ssl-session-data和--ssl-session-data-continue-on-failed-reuse這兩個命令列選項來調用 MySQL 客戶端程式。--tls-ciphersuites=ciphersuite_list命令列格式 --tls-ciphersuites=ciphersuite_list類型 字串 預設值 空字串此選項指定客戶端允許用於使用 TLSv1.3 的加密連線的密碼套件。該值是一個以冒號分隔的零個或多個密碼套件名稱的列表。例如
mysql --tls-ciphersuites="suite1:suite2:suite3"此選項可以指定的密碼套件取決於用於編譯 MySQL 的 SSL 函式庫。如果未設定此選項,客戶端將允許使用預設的密碼套件集。如果將該選項設定為空字串,則不會啟用任何密碼套件,並且無法建立加密連線。如需更多資訊,請參閱第 8.3.2 節,「加密連線 TLS 協定和密碼」。
要指定伺服器允許的密碼套件,請設定
tls_ciphersuites系統變數。-
命令列格式 --tls-version=protocol_list類型 字串 預設值 TLSv1,TLSv1.1,TLSv1.2,TLSv1.3(OpenSSL 1.1.1 或更高版本)TLSv1,TLSv1.1,TLSv1.2(其他情況)此選項指定客戶端允許用於加密連線的 TLS 協定。該值是一個以逗號分隔的一個或多個協定版本的列表。例如
mysql --tls-version="TLSv1.2,TLSv1.3"此選項可以指定的協定取決於用於編譯 MySQL 的 SSL 函式庫以及 MySQL Server 的版本。
重要事項支援
--tls-version選項的客戶端(包括 MySQL Shell)無法使用設定為 TLSv1 或 TLSv1.1 的協定建立 TLS/SSL 連線。如果客戶端嘗試使用這些協定進行連線,對於 TCP 連線,連線將失敗,並向客戶端返回錯誤。對於 socket 連線,如果--ssl-mode設定為REQUIRED,則連線將失敗;否則將建立連線,但會停用 TLS/SSL。有關更多資訊,請參閱移除對 TLSv1 和 TLSv1.1 協定的支援。MySQL Server 中提供了對 TLSv1.3 協定的支援,前提是 MySQL Server 是使用 OpenSSL 1.1.1 或更高版本編譯的。伺服器會在啟動時檢查 OpenSSL 的版本,如果低於 1.1.1,則會從與 TLS 版本相關的伺服器系統變數(例如
tls_version系統變數)的預設值中移除 TLSv1.3。
應選擇允許的協定,以避免在列表中留下「漏洞」。例如,以下這些值沒有漏洞
--tls-version="TLSv1.2,TLSv1.3" --tls-version="TLSv1.3"有關詳細資訊,請參閱第 8.3.2 節,「加密連線 TLS 協定和密碼」。
要指定伺服器允許的 TLS 協定,請設定
tls_version系統變數。
本節介紹允許客戶端程式控制與伺服器連線壓縮使用的選項。有關更多資訊和顯示如何使用它們的範例,請參閱第 6.2.8 節,「連線壓縮控制」。
表 6.6 連線壓縮選項摘要
| 選項名稱 | 描述 |
|---|---|
| --compress | 壓縮客戶端和伺服器之間傳送的所有資訊 |
| --compression-algorithms | 允許與伺服器連線使用的壓縮演算法 |
| --zstd-compression-level | 使用 zstd 壓縮的伺服器連線的壓縮等級 |
--compress,-C命令列格式 --compress[={OFF|ON}]已棄用 是 類型 布林值 預設值 OFF如果可能,壓縮客戶端和伺服器之間傳送的所有資訊。
此選項已棄用。預計在未來版本的 MySQL 中將會移除。請參閱設定傳統連線壓縮。
--compression-algorithms=value命令列格式 --compression-algorithms=value類型 設定 預設值 uncompressed有效值 zlibzstduncompressed允許與伺服器連線使用的壓縮演算法。可用的演算法與
protocol_compression_algorithms系統變數的相同。預設值為uncompressed。--zstd-compression-level=level命令列格式 --zstd-compression-level=#類型 整數 對於使用
zstd壓縮演算法的伺服器連線所要使用的壓縮等級。允許的等級從 1 到 22,較大的值表示更高的壓縮等級。預設的zstd壓縮等級為 3。壓縮等級設定對於不使用zstd壓縮的連線沒有影響。