答案：MySQL中保护敏感数据需结合加密方法与安全策略。使用AES_ENCRYPT/AES_DECRYPT对字段加密，SHA2等哈希函数存储密码并加盐；应用层加密更安全，通过程序加密数据，密钥由配置或KMS管理；企业版可启用TDE加密表空间，防止物理泄露；同时应限制权限、开启SSL、定期轮换密钥、加密备份。核心是合理选择加密方式与严格密钥管理。

MySQL中保护敏感数据需要结合数据库功能与外部安全策略。直接在数据库层面加密字段是常见做法，避免明文存储用户密码、身份证、手机号等信息。以下是几种实用的加密方法和建议。

使用MySQL内置加密函数

MySQL提供了一些现成的加密函数，适合对单个字段进行加密处理。

• AES_ENCRYPT() 和 AES_DECRYPT()：基于AES算法（高级加密标准），支持128/196/256位密钥，安全性高。插入数据时用AES_ENCRYPT('data', 'key')，查询时用AES_DECRYPT(column, 'key')解密。
• ENCODE() 和 DECODE()：轻量级加解密，但安全性不如AES，且依赖于MySQL内部实现，不推荐用于高敏感场景。
• SHA2() 和 MD5()：适用于密码哈希，不可逆。比如存储用户密码应使用SHA2(password, 256)，并配合盐值（salt）防止彩虹表攻击。

示例：

INSERT INTO users (name, phone) VALUES ('张三', AES_ENCRYPT('13800138000', 'my_secret_key'));

SELECT name, AES_DECRYPT(phone, 'my_secret_key') FROM users WHERE name = '张三';

应用层加密更安全

在应用程序代码中完成加密，MySQL只负责存储加密后的二进制或Base64字符串。这种方式避免密钥暴露在数据库日志、慢查询日志或备份中。

• 使用语言自带加密库，如PHP的openssl_encrypt()，Python的cryptography库。
• 密钥由配置文件或密钥管理服务（KMS）提供，不在SQL语句中硬编码。
• 加密后数据可存为BLOB或TEXT类型，防止字符集问题。

启用透明数据加密（TDE）

MySQL企业版支持InnoDB表空间的TDE，对静态数据自动加密，无需修改应用代码。

• 加密整个表空间文件，防止物理介质被盗导致的数据泄露。
• 需配置密钥环插件（如keyring_file或keyring_okv）管理主密钥。
• 注意：TDE不保护网络传输中的数据，需配合SSL使用。

其他安全建议

• 限制数据库账户权限，仅允许必要人员访问敏感表。
• 开启SSL连接，防止数据在网络中被窃听。
• 定期轮换加密密钥，尤其是应用层使用的密钥。
• 备份文件也应加密，并妥善保管密钥。

基本上就这些。关键在于根据数据敏感程度选择合适方式——简单场景可用AES函数，重要系统建议应用层加密+TDE双重防护。密钥管理永远是核心，别把密钥写进代码里。