数据库权限基线要求禁用root%等高危账号最小化授权禁用危险扩展如dblink启用sql_mode严格模式限制information_schema访问。查 mysql 用户权限是否过度开放数据库账号权限过大是基线失守最常见原因尤其 root% 或任意主机可连的高权账号。别只看有没有密码重点看 Host 字段和 Privileges 列表。实操建议用 SELECT User, Host, authentication_string FROM mysql.user; 查所有账号重点关注 Host 为 % 或非内网 IP 的记录用 SHOW GRANTS FOR xxxyyy; 看具体权限警惕含 GRANT OPTION、FILE、PROCESS 的授权生产环境禁止 GRANT ALL PRIVILEGES ON *.*应按最小权限原则限定库/表级权限mysql_native_password 插件在 8.0 默认禁用若强制启用需确认未暴露明文密码传输风险检查 postgresql 是否禁用 pg_stat_statements 外的危险扩展PostgreSQL 扩展机制灵活但像 dblink、postgres_fdw、file_fdw 这类能跨库/读文件的扩展一旦被注入或误用极易导致数据越权或 RCE。实操建议运行 SELECT * FROM pg_extension; 查已安装扩展对照业务需求判断是否冗余禁用非必要扩展用 DROP EXTENSION dblink;注意依赖关系先查 pg_dependpg_stat_statements 是安全基线推荐开启的用于审计慢查询但它本身不带执行能力无需担心检查 shared_preload_libraries 配置项确保没加载未经验证的自定义 .so验证 sql_mode 是否启用严格模式MySQL / MariaDB默认 sql_mode 宽松会导致隐式类型转换、截断插入、零日期接受等行为掩盖应用层数据校验缺陷也增加 SQL 注入利用面。 通义听悟 阿里云通义听悟是聚焦音视频内容的工作学习AI助手依托大模型帮助用户记录、整理和分析音视频内容体验用大模型做音视频笔记、整理会议记录。