--default-auth=plugin

关于使用哪个客户端身份验证插件的提示。见第8.2.17节，“可插拔身份验证”。

--host=host_name, -h host_name

MySQL 服务器正在运行的主机。该值可以是主机名、IPv4 地址或 IPv6 地址。默认值为 localhost。

--password[=pass_val], -p[pass_val]

连接到服务器的 MySQL 账户的密码。密码值可选。如果不给出，客户端程序将提示输入。如果给出，必须在--password=或 -p 和后面的密码之间没有空格。如果不指定密码选项，默认情况下不发送密码。

在命令行指定密码应该被认为是不安全的。为了避免将密码写入命令行，使用选项文件。见第8.1.2.1节，“用户密码安全指南”。

要明确指定没有密码且客户端程序不提示输入，使用--skip-password选项。

--password1[=pass_val]

用于多因素身份验证的MySQL账户连接到服务器时的密码。密码值是可选的。如果不给出，客户端程序将提示输入。如果给出，必须在--password1=和后面的密码之间没有空格。如果不指定密码选项，默认情况下将不发送密码。

在命令行指定密码应该被认为是不安全的。为了避免将密码写入命令行，使用选项文件。见第8.1.2.1节，“用户密码安全指南”。

要明确指定没有密码且客户端程序不提示输入，使用--skip-password1选项。

--password1 和 --password 是同义词，类似地 --skip-password1 和 --skip-password.

--password2[=pass_val]

用于连接到服务器的 MySQL 账户的多因素身份验证因子 2 的密码。该选项的语义与 --password1 的语义相似，详见该选项的描述。

--password3[=pass_val]

用于连接到服务器的 MySQL 账户的多因素身份验证因子 3 的密码。该选项的语义与 --password1 的语义相似，详见该选项的描述。

--pipe, -W

在 Windows 上，使用命名管道连接到服务器。这选项仅适用于服务器启用了named_pipe系统变量以支持命名管道连接。此外，建立连接的用户必须是由named_pipe_full_access_group系统变量指定的 Windows 组。

--plugin-dir=dir_name

指定插件所在的目录。如果使用--default-auth选项指定了身份验证插件，但客户端程序找不到它。请参阅第8.2.17节，“可插拔身份验证”。

--port=port_num, -P port_num

对于 TCP/IP 连接，使用的端口号，默认端口号是 3306。

--protocol={TCP|SOCKET|PIPE|MEMORY}

这个选项明确指定连接到服务器时使用的传输协议。它在其他连接参数通常导致使用不同协议的情况下非常有用。例如，连接到 localhost 的 Unix 客户端默认使用 Unix 套接字文件：

mysql --host=localhost

要强制使用 TCP/IP 传输协议，可以指定一个--protocol选项：

mysql --host=localhost --protocol=TCP

以下表格显示了可允许的 --protocol 选项值，并且指示每个值适用的平台。这些值不区分大小写。

详见第6.2.7节，“连接传输协议”

--shared-memory-base-name=name

在 Windows 上，使用共享内存连接到本地服务器的共享内存名称。默认值为 MYSQL。共享内存名称是大小写敏感的。

只有当服务器以启用支持共享内存连接时，才应用这个选项。

--socket=path, -S path

在 Unix 上，使用命名管道连接到本地服务器的 Unix 套接字文件名称。默认 Unix 套接字文件名称为 /tmp/mysql.sock。

在 Windows 上，使用连接到本地服务器的命名管道名称。默认 Windows 管道名称为 MySQL。管道名称不区分大小写。

在 Windows 上，这个选项仅适用于服务器以启用 named_pipe 系统变量来支持命名管道连接。另外，建立连接的用户必须是由 named_pipe_full_access_group 系统变量指定的 Windows 组成员。

--user=user_name, -u user_name

连接到服务器的 MySQL 账户用户名。默认用户名是 Windows 上的 ODBC 或 Unix 上的 Unix 登录名。

--get-server-public-key

从服务器请求用于RSA密钥对基于密码交换的公钥。这选项适用于使用 caching_sha2_password 认证插件的客户端。对于该插件，服务器除非被请求，不会发送公钥。这选项忽略了不使用该插件认证的账户，也忽略了在安全连接中使用RSA密码交换的情况。

如果指定了--server-public-key-path=file_name，并且指定了有效的公钥文件，那么它将优先于--get-server-public-key。

关于 caching_sha2_password 插件的信息，请参见第8.4.1.2节，“Caching SHA-2 Pluggable Authentication”。

--server-public-key-path=file_name

客户端文件路径，包含服务器要求的RSA密钥对密码交换所需的公钥副本。该选项适用于使用 sha256_password 或 caching_sha2_password 认证插件的客户端。这一选项对于不使用RSA-based密码交换的客户端无效，例如使用安全连接时。

如果指定了--server-public-key-path=file_name，并且指定了有效的公钥文件，那么它将优先于--get-server-public-key。

该选项仅在使用 OpenSSL 构建 MySQL 时可用。

关于 sha256_password 和 caching_sha2_password 插件的信息，请参见第8.4.1.3节，“SHA-256 可插拔认证”，和第8.4.1.2节，“Caching SHA-2 可插拔认证”。

--ssl-ca=file_name

PEM格式的证书授权机构（CA）文件路径名。该文件包含了可信任的SSL证书授权机构列表。

在建立加密连接到服务器时，指定不使用--ssl-ca或--ssl-capath，服务器仍然根据客户端账户的任何适用要求验证客户端，并且仍然使用服务器端指定的ssl_ca或ssl_capath系统变量值。

为服务器指定CA文件，设置ssl_ca系统变量。

--ssl-capath=dir_name

包含PEM格式SSL证书授权机构（CA）文件的目录路径名。

在建立加密连接到服务器时，客户端不验证服务器证书，可以不指定--ssl-ca或--ssl-capath。服务器仍然根据客户端账户的任何适用要求验证客户端，并且仍然使用服务器端指定的ssl_ca或ssl_capath系统变量值。

要指定服务器CA目录，设置ssl_capath系统变量。

--ssl-cert=file_name

客户端SSL公共密钥证书文件的路径名，支持链式SSL证书。

要指定服务器SSL公共密钥证书文件，设置ssl_cert系统变量。

--ssl-cipher=cipher_list

TLSv1.2 协议连接的加密cipher列表。如果列表中没有支持的cipher，使用这些TLS协议的加密连接将不工作。

为了最大化可移植性，cipher_list 应该是一个或多个cipher名称，使用冒号分隔。示例：

--ssl-cipher=AES128-SHA
--ssl-cipher=DHE-RSA-AES128-GCM-SHA256:AES128-SHA

OpenSSL 文档中描述的加密cipher语法在https://www.openssl.org/docs/manmaster/man1/ciphers.html 中有描述。

关于 MySQL 支持的加密cipher信息，见第8.3.2节，“加密连接 TLS 协议和cipher”。

要指定服务器的加密cipher，设置ssl_cipher 系统变量。

--ssl-crl=file_name

包含 PEM 格式证书撤销列表的文件路径名。

如果既没有--ssl-crl 也没有--ssl-crlpath，即使 CA 路径包含证书撤销列表，也不执行 CRL 检查。

为服务器指定撤销列表文件，设置ssl_crl系统变量。

--ssl-crlpath=dir_name

包含PEM格式证书撤销列表文件的目录路径。

如果既没有--ssl-crl也没有--ssl-crlpath，即使CA路径包含证书撤销列表，也不执行CRL检查。

为服务器指定撤销目录，设置ssl_crlpath系统变量。

--ssl-fips-mode={OFF|ON|STRICT}

控制客户端是否启用FIPS模式。与其他--ssl-xxx选项不同的是，--ssl-fips-mode选项不是用来建立加密连接，而是影响哪些加密操作被允许。见第8.8节，“FIPS支持”。

这些--ssl-fips-mode值是允许的：

要指定服务器的FIPS模式，设置ssl_fips_mode系统变量。

--ssl-key=file_name

客户端 SSL 私钥文件的路径名称，以 PEM 格式。为了更好的安全性，使用 RSA 密钥大小至少 2048 位的证书。

如果密钥文件被保护密码，客户程序将提示用户输入密码。密码不能存储在文件中。如果密码错误，程序继续像无法读取密钥一样。

要指定服务器 SSL 私钥文件，设置ssl_key系统变量。

--ssl-mode=mode

这个选项指定了连接到服务器的安全状态。这些模式值按严格性递增排序：

选项--ssl-mode与 CA 证书选项相互作用：

要要求 MySQL 账户使用加密连接，使用CREATE USER创建账户，并添加REQUIRE SSL子句，或者使用ALTER USER对现有账户添加REQUIRE SSL子句。这将导致客户端使用该账户连接的尝试被拒绝，除非 MySQL 支持加密连接并且可以建立加密连接。

REQUIRE 子句允许其他加密相关选项，可以用来强制执行更严格的安全要求。关于使用各种 REQUIRE 选项配置账户的客户端必须指定哪些命令选项，见CREATE USER SSL/TLS 选项。

--ssl-session-data=file_name

客户端 SSL 会话数据文件的路径名称，用于会话重用，格式为 PEM。

当您使用 MySQL 客户端程序时，带有--ssl-session-data选项，客户端将尝试从文件中反序列化会话数据，如果提供了文件，然后使用它来建立新的连接。如果您提供了文件，但会话不被重用，那么连接将失败，除非在调用客户端程序时也指定了--ssl-session-data-continue-on-failed-reuse选项。

命令mysql（见第6.5.1.2节，“mysql 客户端命令”）ssl_session_data_print生成会话数据文件（见第6.5.1.2节，“mysql 客户端命令”）。

ssl-session-data-continue-on-failed-reuse

控制是否启动一个新的连接来替换尝试重新使用会话数据的连接，该连接之前尝试了但失败了使用--ssl-session-data命令行选项指定的会话数据。默认情况下，--ssl-session-data-continue-on-failed-reuse命令行选项是关闭的，这样客户端程序将在会话数据不被重新使用时返回连接失败。

为了确保在会话重用失败后打开一个新的、无关联的连接，invoke MySQL 客户端程序同时使用--ssl-session-data和--ssl-session-data-continue-on-failed-reuse命令行选项。

--tls-ciphersuites=ciphersuite_list

这个选项指定了客户端允许的加密连接使用 TLSv1.3 的 ciphersuites。值是一个或多个以冒号分隔的 ciphersuite 名称，例如：

mysql --tls-ciphersuites="suite1:suite2:suite3"

该选项的加密套件名称取决于用于编译 MySQL 的 SSL 库。如果不设置该选项，客户端允许默认的加密套件集。如果将该选项设置为空字符串，则无法建立加密连接。更多信息，请见第8.3.2节，“加密连接 TLS 协议和加密套件”。

要指定服务器允许的加密套件，设置tls_ciphersuites系统变量。

--tls-version=protocol_list

该选项指定客户端允许的加密连接 TLS 协议。值是一个或多个逗号分隔的协议版本列表，例如：

mysql --tls-version="TLSv1.2,TLSv1.3"

可以为该选项命名的协议取决于用于编译 MySQL 的 SSL 库，以及 MySQL 服务器版本。

允许的协议应该选择不留下“空隙”。例如，这些值没有空隙：

--tls-version="TLSv1.2,TLSv1.3"
--tls-version="TLSv1.3"

详见第 8.3.2 节，“加密连接 TLS 协议和加密方式”。

要指定服务器允许的TLS协议，设置tls_version系统变量。

--compress, -C

如果可能，压缩客户端和服务器之间发送的所有信息。

这个选项已经废弃。预计将在 MySQL 的未来版本中删除。请参阅配置遗留连接压缩。

--compression-algorithms=value

服务器连接的允许压缩算法。可用的算法与protocol_compression_algorithms系统变量相同。默认值为不压缩。

--zstd-compression-level=level

用于连接到服务器的压缩级别，使用zstd压缩算法。允许的级别从1到22，较大的值表示更高的压缩级别。默认的zstd压缩级别是3。没有使用zstd压缩的连接设置压缩级别无效。