MySQL导入导出时ERROR 1290 (HY000)错误解析

MySQL ERROR 1290 深度解析：成因、排查与解决方案

在使用 MySQL 进行数据导入导出操作时，尤其是执行 LOAD DATA INFILE 或 SELECT INTO OUTFILE 语句时，经常遇到如下错误：

ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

该错误提示表明 MySQL 启用了 secure_file_priv 安全选项。本文将从原理出发，逐步分析其触发机制、配置方法、跨平台差异及安全策略。

一、核心原因解析

MySQL 的 secure_file_priv 是一项重要的安全机制，用于限制服务器对本地文件系统的读写权限。当启用该参数后，只有位于指定目录下的文件才能被 LOAD DATA INFILE 或 SELECT INTO OUTFILE 使用。

• 目的：防止恶意用户通过 SQL 注入等方式访问任意文件。
• 默认行为：
  • 若未设置该值，则禁止使用文件导入导出功能。
  • 若设为空字符串（""），则允许所有路径（不推荐）。
  • 若设为特定路径（如 /var/lib/mysql-files/），则只能在该目录下操作。

二、常见触发场景

三、如何查看和修改 secure_file_priv 配置

要确认当前配置状态，可执行如下 SQL 查询：

SHOW VARIABLES LIKE 'secure_file_priv';

输出示例如下：

+------------------+-----------------------+
| Variable_name    | Value                 |
+------------------+-----------------------+
| secure_file_priv | /var/lib/mysql-files/ |
+------------------+-----------------------+

修改方式分为两种：

1. 临时修改（仅当前会话有效，不推荐）：
   SET GLOBAL secure_file_priv = '/new/path/'; —— 无效，因为此变量是只读的。
2. 永久修改（需编辑配置文件并重启）：
   在 my.cnf 或 my.ini 中添加或修改：

[mysqld]
secure_file_priv = "/new/path/"

然后重启 MySQL 服务：

• Linux：sudo systemctl restart mysql
• Windows：net stop MySQL & net start MySQL

四、为何路径正确仍报错？深入排查要点

即使路径正确，也可能由于以下原因导致 ERROR 1290：

• 文件系统权限不足：MySQL 服务运行账户（如 mysql:mysql）对该目录无读写权限。
• SELinux/AppArmor 等安全策略限制：Linux 系统上安全模块可能阻止访问某些路径。
• 符号链接或挂载点问题：实际路径为软链接或网络挂载目录，MySQL 不识别。
• 路径结尾是否带斜杠：部分版本要求必须以斜杠结尾。
• 字符编码或特殊字符：路径含中文或空格，未进行适当处理。

五、不同操作系统环境下的配置差异

虽然 secure_file_priv 参数本身是跨平台的，但在实际配置中存在一些关键差异：

六、在保证安全的前提下完成数据导入导出任务

为了在启用 secure_file_priv 的前提下完成数据操作，建议采取以下策略：

1. 统一使用指定目录：将待导入/导出文件移动到 secure_file_priv 所指定的目录下。
2. 使用 LOAD DATA LOCAL INFILE：客户端本地加载文件，绕过服务器端路径限制。
3. 结合其他工具进行数据迁移：如 mysqldump、mysqlimport、ETL 工具等。
4. 使用程序代码实现导入导出逻辑：如 Python + pymysql，避免直接使用 SQL 文件操作。
5. 定期清理临时文件：确保导出目录不会积累敏感数据。

七、流程图展示：ERROR 1290 排查流程