你们的数据库开放外网 IP 链接吗，我想用 DataGrip

这些数据库桌面客户端不都是可以 via SSH tunnel 么？

你可以用 ssh 证书登录呀，不需要直接暴露数据库的端口，

忘记加 where ？？？？？？？？？

直接端口映射，别怕。

既要又要还要。

删除数据库的远程账户，只保留本地 root 账户，然后安装 nginx ，用 nginx 代理数据库链接，datagrip 添加 nginx 转发的链接就可以远程访问了

自己项目的数据库会映射到公网，改端口+高强度密码。但是公司的数据从来不会映射到公网，一般是通过 vpn 或者堡垒机连接，那天数据库爆个 0day ，不用密码也能访问，这不完蛋

不会暴漏再外网，有远程连接需求就搞 VPN 。 另外 datagrip 不怎么好用。

数据库不向外网开放的原因很明显不是怕你写 SQL 不加 where 。。

我这的数据库都是设置只允许 127.0.01 连接的, 任何内网外网都禁止连接, 仅允许调用附带安装的 API 接口执行查询更新操作. 其余任何操作, 都必须登录到这台主机才行.

用 ssh 跳板机

实际上楼主的意思是:
如何安全的通过外网去访问数据库.

实际上正确的策略是不怕公网数据库的. 公网访问数据库!=不安全

比如有限的重试次数限制 mysql 的(CONNECTION_CONTROL),pg 的(session_exec) 这样的方式,IP 白名单;如果是云上服务还可以有安全组等等等;

安全是一个相对的概念.

另外在当下,其实有类似于 bytebase( https://www.bytebase.com/) 这样的产品很好的解决了这个问题. 楼主有兴趣可以都了解一些

找到可以连接访问数据库又可以 SSH 登录的的服务器, 在 DataGrip 中可以配置 SSH tunnel 通过这台服务器访问数据库

数据库暴露公网端口是大忌。

ssh 隧道

刑

不让连就不连，虽然可以通过各种技术手段，但是从公司角度讲，这样是违规的，出了事肯定会追责。公司怎么规定的就怎么做

ssh 代理，datagrip 应该是支持的；或者其他标准意义上的 VPN 工具组件虚拟内网

Re: @woodfizky #9 ，我觉得题主的意思是，如果使用命令行之类的方式，delete 、update 忘了写 where 容易出事；但是有个界面的话，小改动（如“需要手动的给部分用户加点特权”）就可以直接 GUI 的形式修改。

我告诉你 GUI 客户端更容易出错

之前我改了部分数据，类似表格一样想一行粘贴进去，但是不知道为啥整个表就只有那一行了，幸好非核心数据

或者你们有改数据需求 可以搞个 phpadmin 内网部署，vpn 连内网操作

必须 ssh 隧道或者 mysql 开 ssl
普通 mysql 协议是明文的，有心抓包的话，是能看到密码的

除了 VPN 、SSH 隧道，mTLS 也可以，甚至可以把这三个组合在一起用。

开通内网访问。远程另外一台服务器访问数据库

ssh 上去让我看看

@nnegier 数据库不能开放外网 IP 和端口，包括 SSH 账号密码都不建议开放。最好使用代理工具去连。 数据库代理案例审计，这个 https://mp.weixin.qq.com/s/feTUn5Hv0Mdxxl--JiLk6w 可以用。实现模式就是：数据库连接账号、密码都是通过这个代理系统去创建账号和密码，统一管理所有连接的用户。外网只与代理系统 Next-DBM 连接，在这个系统中可以统一管理所有连接某数据库的用户，分配权限。 这些用户可以通过分配给自己的账号，直接用 MySQL 客户端工具去连接内网的数据库。可以审计的。