--default-auth=plugin

使用するクライアント側認証プラグインに関するヒント。 セクション6.2.17「プラガブル認証」を参照してください。

--host=host_name, -h host_name

MySQL サーバーが実行されているホスト。 値には、ホスト名、IPv4 アドレスまたは IPv6 アドレスを指定できます。 デフォルト値は localhost です。

--password[=pass_val], -p[pass_val]

サーバーへの接続に使用される MySQL アカウントのパスワード。 パスワード値はオプションです。 指定しない場合、プログラムによってプロンプトが表示されます。 指定する場合は、--password= または -p とそれに続くパスワードの間にスペースなしが存在する必要があります。 パスワードオプションを指定しない場合、デフォルトではパスワードは送信されません。

コマンド行でのパスワード指定は、セキュアでないと考えるべきです。 コマンド行でパスワードを指定しないようにするには、オプションファイルを使用します。 セクション6.1.2.1「パスワードセキュリティーのためのエンドユーザーガイドライン」を参照してください。

パスワードがないこと、およびクライアントプログラムがパスワードを要求しないことを明示的に指定するには、--skip-password オプションを使用します。

--pipe, -W

Windows で、名前付きパイプを使用してサーバーに接続します。 このオプションは、ネームパイプ接続をサポートするために named_pipe システム変数を有効にしてサーバーを起動した場合にのみ適用されます。 また、接続を行うユーザーは、named_pipe_full_access_group システム変数で指定された Windows グループのメンバーである必要があります。

--plugin-dir=dir_name

プラグインを検索するディレクトリ。 このオプションは、--default-auth オプションを使用して認証プラグインを指定しても、クライアントプログラムがそれを検出しない場合に指定します。 セクション6.2.17「プラガブル認証」を参照してください。

--port=port_num, -P port_num

TCP/IP 接続の場合、使用するポート番号。 デフォルトのポート番号は 3306 です。

--protocol={TCP|SOCKET|PIPE|MEMORY}

このオプションは、サーバーへの接続に使用するトランスポートプロトコルを明示的に指定します。 これは、他の接続パラメータが通常、必要なプロトコル以外のプロトコルを使用する場合に便利です。 たとえば、Unix では localhost への接続はデフォルトでは Unix ソケットファイルを使用して行われます。

mysql --host=localhost

かわりに TCP/IP トランスポートを強制的に使用するには、--protocol オプションを指定します:

mysql --host=localhost --protocol=TCP

次のテーブルに、許容される --protocol オプション値を示し、各値に適用可能なプラットフォームを示します。 値では大文字と小文字は区別されません。

セクション4.2.7「接続トランスポートプロトコル」も参照してください

--shared-memory-base-name=name

Windows の場合、共有メモリを使用してローカルサーバに接続するために使用する共有メモリ名。 デフォルト値は MYSQL です。 共有メモリー名では大文字と小文字が区別されます。

このオプションは、共有メモリー接続をサポートするために shared_memory システム変数を有効にしてサーバーを起動した場合にのみ適用されます。

--socket=path, -S path

Unix の場合、名前付きパイプを使用してローカルサーバーに接続するために使用する Unix ソケットファイルの名前。 デフォルトの Unix ソケットファイル名は /tmp/mysql.sock です。

Windows の場合、ローカルサーバーへの接続に使用する名前付きパイプの名前。 デフォルトの Windows パイプ名は MySQL です。 パイプ名では大文字と小文字は区別されません。

Windows では、このオプションは、名前付きパイプ接続をサポートするために named_pipe システム変数を有効にしてサーバーを起動した場合にのみ適用されます。 また、接続を行うユーザーは、named_pipe_full_access_group システム変数で指定された Windows グループのメンバーである必要があります。

--user=user_name, -u user_name

サーバーへの接続に使用する MySQL アカウントのユーザー名。 デフォルトのユーザー名は、Windows では ODBC、Unix では Unix のログイン名です。

--get-server-public-key

RSA キーペアベースのパスワード交換に必要な公開キーをサーバーにリクエストします。 このオプションは、caching_sha2_password 認証プラグインで認証されるクライアントに適用されます。 そのプラグインの場合、サーバーは要求されないかぎり公開鍵を送信しません。 このオプションは、そのプラグインで認証されないアカウントでは無視されます。 クライアントがセキュアな接続を使用してサーバーに接続する場合と同様に、RSA ベースのパスワード交換を使用しない場合も無視されます。

--server-public-key-path=file_name が指定され、有効な公開キーファイルが指定されている場合は、--get-server-public-key よりも優先されます。

caching_sha2_password プラグインの詳細は、セクション6.4.1.2「SHA-2 プラガブル認証のキャッシュ」 を参照してください。

--server-public-key-path=file_name

RSA キーペアベースのパスワード交換のためにサーバーが必要とする公開キーのクライアント側コピーを含む、PEM 形式のファイルへのパス名。 このオプションは、sha256_password または caching_sha2_password 認証プラグインで認証されるクライアントに適用されます。 これらのプラグインのいずれかで認証されないアカウントでは、このオプションは無視されます。 クライアントがセキュアな接続を使用してサーバーに接続する場合と同様に、RSA ベースのパスワード交換を使用しない場合も無視されます。

--server-public-key-path=file_name が指定され、有効な公開キーファイルが指定されている場合は、--get-server-public-key よりも優先されます。

このオプションは、MySQL が OpenSSL を使用してビルドされている場合のみ利用できます。

sha256_password および caching_sha2_password プラグインの詳細は、セクション6.4.1.3「SHA-256 プラガブル認証」 および セクション6.4.1.2「SHA-2 プラガブル認証のキャッシュ」 を参照してください。

--ssl-ca=file_name

PEM 形式の認証局 (CA) 証明書ファイルのパス名。 このファイルには、信頼できる SSL 認証局のリストが含まれています。

サーバーへの暗号化された接続を確立するときにサーバー証明書を認証しないようにクライアントに指示するには、--ssl-ca も --ssl-capath も指定しません。 サーバーは、クライアントアカウントに設定されている適用可能な要件に従ってクライアントを検証し、サーバー側で指定されている ssl_ca または ssl_capath システム変数値を引き続き使用します。

サーバーの CA ファイルを指定するには、ssl_ca システム変数を設定します。

--ssl-capath=dir_name

PEM 形式の信頼できる SSL 認証局 (CA) 証明書ファイルを含むディレクトリのパス名。

サーバーへの暗号化された接続を確立するときにサーバー証明書を認証しないようにクライアントに指示するには、--ssl-ca も --ssl-capath も指定しません。 サーバーは、クライアントアカウントに設定されている適用可能な要件に従ってクライアントを検証し、サーバー側で指定されている ssl_ca または ssl_capath システム変数値を引き続き使用します。

サーバーの CA ディレクトリを指定するには、ssl_capath システム変数を設定します。

--ssl-cert=file_name

PEM 形式のクライアント SSL 公開キー証明書ファイルのパス名。

サーバー SSL 公開キー証明書ファイルを指定するには、ssl_cert システム変数を設定します。

--ssl-cipher=cipher_list

TLSv1.2までのTLS プロトコルを使用する接続に許可される暗号のリスト。 リスト内の暗号がサポートされていない場合、これらの TLS プロトコルを使用する暗号化された接続は機能しません。

移植性を最大にするには、cipher_list をコロンで区切った 1 つ以上の暗号名のリストで指定するようにしてください。 例:

--ssl-cipher=AES128-SHA
--ssl-cipher=DHE-RSA-AES128-GCM-SHA256:AES128-SHA

OpenSSL は、https://www.openssl.org/docs/manmaster/man1/ciphers.html の OpenSSL ドキュメントで説明されている暗号を指定するための構文をサポートしています。

MySQL がサポートする暗号化暗号の詳細は、セクション6.3.2「暗号化された接続 TLS プロトコルおよび暗号」 を参照してください。

サーバーの暗号を指定するには、ssl_cipher システム変数を設定します。

--ssl-crl=file_name

PEM 形式の証明書失効リストを含むファイルのパス名。

--ssl-crl も --ssl-crlpath も指定されていない場合は、CA パスに証明書失効リストが含まれていても、CRL チェックが実行されません。

サーバーの失効リストファイルを指定するには、ssl_crl システム変数を設定します。

--ssl-crlpath=dir_name

PEM 形式の証明書失効リストファイルを含むディレクトリのパス名。

--ssl-crl も --ssl-crlpath も指定されていない場合は、CA パスに証明書失効リストが含まれていても、CRL チェックが実行されません。

サーバーの失効リストディレクトリを指定するには、ssl_crlpath システム変数を設定します。

--ssl-fips-mode={OFF|ON|STRICT}

クライアント側で FIPS モードを有効にするかどうかを制御します。 --ssl-fips-mode オプションは、暗号化された接続の確立には使用されず、許可する暗号化操作に影響する点で、他の --ssl-xxx オプションとは異なります。 セクション6.8「FIPS のサポート」を参照してください。

次の --ssl-fips-mode 値を使用できます:

サーバーの FIPS モードを指定するには、ssl_fips_mode システム変数を設定します。

--ssl-key=file_name

PEM 形式のクライアント SSL 秘密キーファイルのパス名。 セキュリティを向上させるには、RSA キーサイズが 2048 ビット以上の証明書を使用します。

鍵ファイルがパスフレーズで保護されている場合、クライアントプログラムはユーザーにパスフレーズの入力を求めます。 パスワードは対話形式で指定する必要があり、ファイルには格納できません。 パスフレーズが正しくない場合は、鍵を読み取ることができない場合と同様に、プログラムが続行されます。

サーバー SSL 秘密キーファイルを指定するには、ssl_key システム変数を設定します。

--ssl-mode=mode

このオプションは、サーバーへの接続の目的のセキュリティー状態を指定します。 これらのモード値は、厳密性の向上順に許容されます:

--ssl-mode オプションは、次のように CA 証明書オプションと対話します:

MySQL アカウントで暗号化された接続を使用する必要がある場合は、CREATE USER を使用して REQUIRE SSL 句でアカウントを作成するか、既存のアカウントに ALTER USER を使用して REQUIRE SSL 句を追加します。 これにより、MySQL が暗号化された接続をサポートし、暗号化された接続を確立できないかぎり、アカウントを使用するクライアントによる接続試行が拒否されます。

REQUIRE 句では、他の暗号化関連のオプションを使用して、REQUIRE SSL より厳格なセキュリティ要件を適用できます。 様々な REQUIRE オプションを使用して構成されたアカウントを使用して接続するクライアントで指定する必要があるコマンドオプションの詳細は、CREATE USER SSL/TLS オプション を参照してください。

--tls-ciphersuites=ciphersuite_list

このオプションは、TLSv1.3 を使用する暗号化された接続に対してクライアントが許可する暗号スイートを指定します。 値は、コロンで区切られたゼロ個以上の暗号スイート名のリストです。 例:

mysql --tls-ciphersuites="suite1:suite2:suite3"

このオプションに指定できる暗号スイートは、MySQL のコンパイルに使用される SSL ライブラリによって異なります。 このオプションが設定されていない場合、クライアントは暗号化方式群のデフォルトセットを許可します。 このオプションが空の文字列に設定されている場合、暗号スイートは有効にならず、暗号化された接続を確立できません。 詳細は、セクション6.3.2「暗号化された接続 TLS プロトコルおよび暗号」を参照してください。

このオプションは MySQL 8.0.16 で追加されました。

サーバーが許可する暗号化方式群を指定するには、tls_ciphersuites システム変数を設定します。

--tls-version=protocol_list

このオプションは、クライアントが暗号化された接続に対して許可する TLS プロトコルを指定します。 この値は、1 つまたは複数のコンマ区切りプロトコルバージョンのリストです。 例:

mysql --tls-version="TLSv1.1,TLSv1.2"

このオプションに指定できるプロトコルは、MySQL のコンパイルに使用される SSL ライブラリによって異なります。 「「穴」」をリストに残さないなど、許可されたプロトコルを選択する必要があります。 たとえば、次の値には穴がありません:

--tls-version="TLSv1,TLSv1.1,TLSv1.2,TLSv1.3"
--tls-version="TLSv1.1,TLSv1.2,TLSv1.3"
--tls-version="TLSv1.2,TLSv1.3"
--tls-version="TLSv1.3"

これらの値には穴があり、使用しないでください:

--tls-version="TLSv1,TLSv1.2"
--tls-version="TLSv1.1,TLSv1.3"

詳細は、セクション6.3.2「暗号化された接続 TLS プロトコルおよび暗号」を参照してください。

サーバーが許可する TLS プロトコルを指定するには、tls_version システム変数を設定します。

--compress, -C

可能であれば、クライアントとサーバーの間で送信されるすべての情報を圧縮します。

MySQL 8.0.18 では、このオプションは非推奨です。 MySQL の将来のバージョンで削除されることが予想されます。 レガシー接続圧縮の構成を参照してください。

--compression-algorithms=value

サーバーへの接続に許可される圧縮アルゴリズム。 使用可能なアルゴリズムは、protocol_compression_algorithms システム変数の場合と同じです。 デフォルト値は uncompressed です。

このオプションは MySQL 8.0.18 で追加されました。

--zstd-compression-level=level

zstd 圧縮アルゴリズムを使用するサーバーへの接続に使用する圧縮レベル。 許可されるレベルは 1 から 22 で、大きい値は圧縮レベルの増加を示します。 デフォルトの zstd 圧縮レベルは 3 です。 圧縮レベルの設定は、zstd 圧縮を使用しない接続には影響しません。

このオプションは MySQL 8.0.18 で追加されました。