config配置数据库连接

在软件开发中，数据库连接配置是构建应用的基础环节，本文通过三个递进式示例，演示如何在不同场景下安全高效地配置数据库连接，并附赠实战技巧。

一、基础配置：明文方式（不推荐生产环境）

config.py
DATABASE = {
    'host': 'localhost',
    'port': 3306,
    'user': 'root',
    'password': 'admin123',
    'database': 'mydb',
    'charset': 'utf8mb4'
}

*注意：此方式将敏感信息直接暴露在代码中，仅适用于本地开发环境

二、进阶方案：环境变量分离

import os
from dotenv import load_dotenv
load_dotenv()  # 加载.env文件
DATABASE = {
    'host': os.getenv('DB_HOST'),
    'port': int(os.getenv('DB_PORT', 3306)),
    'user': os.getenv('DB_USER'),
    'password': os.getenv('DB_PASSWORD'),
    'database': os.getenv('DB_NAME')
}

对应.env文件：

DB_HOST=production-db.example.com
DB_USER=app_user
DB_PASSWORD=s3cr3tP@ssw0rd
DB_NAME=production_db

*优势：

1、敏感信息不进版本库

2、环境隔离（开发/测试/生产）

3、符合12-Factor应用原则

三、企业级方案：动态配置中心

application.yml
spring:
  datasource:
    url: jdbc:mysql://${CONFIG_CENTER_URL}/dynamic_config
    username: ${ENCRYPTED_DB_USER}
    password: ${ENCRYPTED_DB_PWD}
    hikari:
      connection-timeout: 3000
      maximum-pool-size: 20

配合使用：

1、Vault或AWS Secrets Manager管理密钥

2、配置中心（Nacos/Apollo）动态更新

3、连接池参数优化

关键安全实践

1、最小权限原则：为应用创建独立数据库账号，仅授予必要权限

2、加密传输：强制使用SSL连接（MySQL示例）：

 ssl_args = {'ssl_ca': '/path/to/server-ca.pem'}
   conn = mysql.connector.connect(config,ssl_args)

3、定期轮换：设置密码有效期（MySQL示例）：

 ALTER USER 'app_user'@'%' PASSWORD EXPIRE INTERVAL 90 DAY;

性能优化参数参考

参数项	推荐值	说明
连接超时	3000ms	避免长时间阻塞
最大连接数	CPU核心数*2	根据实际负载调整
空闲超时	600000ms	10分钟回收空闲连接
测试查询	SELECT 1	连接池健康检查语句

故障排查清单

1、检查防火墙设置（端口3306/5432等）

2、验证账号远程访问权限

3、查看数据库日志文件

4、测试telnet连通性：telnet db_host 3306

5、使用低权限账号复现问题

扩展工具推荐

配置验证：mysqlcheck /pg_isready

加密方案：HashiCorp Vault

连接监控：Prometheus + Grafana

SQL审核：Yearning / Archery

> 本文技术要点参考自OWASP安全配置指南、各数据库官方文档及《数据库系统概念》第7版（机械工业出版社），实战参数值基于作者在金融级系统的实施经验，需根据实际业务场景调整。