1，生产环境程序账号权限必须分类：

–读写账号，且读写分离

–DDL账号

–具有特殊权限的账号，如replication client,show databases等

–监控和管理程序账号

2，一个账号对应一个数据库模块(database)，且账号名必须包含模块名(垂直拆分的时候，查看流量)

3，禁止开发人员直接ssh登陆DBA机器，禁止程序账号具有file、super等高危权限

4，禁止程序使用load data，用load data local替代。若无load data需求，则关闭服务器的--local-infile选项。

5，临时账号包含“tmp”，线下账号包含“offline”等可识别字样

6，同一个集群内同步账号和密码必须统一

7，新建账号、授权权限、修改密码必须使用grant语句

8，收回权限必须使用revoke或drop user语句

9，数据库参数old_passwords必须设为OFF