这是我通常使用 SSL 连接到 MySQL 数据库的方式：

$db = mysqli_init();
mysqli_ssl_set(
    $db,
    NULL,
    NULL,
    '/etc/ssl/my-certs/ssl-ca.crt.pem',
    NULL,
    NULL
);
mysqli_real_connect(
    $db,
    'db.example.com',
    'john',
    '123456',
    NULL,
    NULL,
    NULL,
    MYSQLI_CLIENT_SSL
);

当阅读 PHP 文档时mysqli::options，我注意到了MYSQLI_OPT_SSL_VERIFY_SERVER_CERT选项，我认为这是一个让 MySQLi 验证服务器证书的选项。不幸的是，没有描述MYSQLI_OPT_SSL_VERIFY_SERVER_CERT在文档中。这个选项的存在让我怀疑我是否一直在不安全地连接MySQL。现在我想知道安全连接MySQL的正确方法是否是这样的：

$db = mysqli_init();
mysqli_options($db, MYSQLI_OPT_SSL_VERIFY_SERVER_CERT, true);  // <- Attention.
mysqli_ssl_set(
    $db,
    NULL,
    NULL,
    '/etc/ssl/my-certs/ssl-ca.crt.pem',
    NULL,
    NULL
);
mysqli_real_connect(
    $db,
    'db.example.com',
    'john',
    '123456',
    NULL,
    NULL,
    NULL,
    MYSQLI_CLIENT_SSL
);

所以，我的问题是：

1. Is MYSQLI_OPT_SSL_VERIFY_SERVER_CERT set to true默认情况下？
2. 什么是MYSQLI_OPT_SSL_VERIFY_SERVER_CERT做？ （请引用）
3. 使用 MySQLi 连接到远程 MySQL 数据库的正确（安全）方法是什么？

（注：这是一个后续问题MYSQLI_CLIENT_SSL 和 MYSQLI_OPT_SSL_VERIFY_SERVER_CERT 有什么区别？)

要求的答案

事实是，MYSQLI_OPT_SSL_VERIFY_SERVER_CERT 没有效果。 它是一个未使用的常量。我刚刚通过扫描验证了这一点源代码.

所以，您的问题仍然是：MySQLi 连接默认情况下是否检查服务器证书？

简短回答：Yes， 他们是。

长答案：尽管证书与普遍信任的列表不匹配证书颁发机构，所提供的 CA（即使是自签名）仍会在连接建立时进行验证，以缓解MITM 攻击.

从工程角度回答

当连接到 MySQL 服务器时，我根本不建议使用 SSL 连接，因为它们会增加几层缺点（加密、带宽、解密、增加内存使用量、增加总体往返时间）。更好的方法是在受信任的本地网络内进行连接，或者如果服务器按设计必须位于本地网络之外（在这种情况下，设计似乎是错误的），则使用某种类型的经过良好身份验证的 SOAP 接口来检索和操作数据。