ProxySQL 2.6.3版本中MySQL COM_CHANGE_USER命令的认证问题分析

问题背景

ProxySQL作为高性能的MySQL代理中间件，在其2.6.3版本中出现了一个与认证相关的错误。当客户端通过PHP应用程序使用持久连接(persistent connection)时，系统会记录大量错误日志，内容为"ProxySQL Error: Access denied for user"。这个问题在2.5.5版本中不存在，但在升级到2.6.3后开始出现。

问题现象

具体表现为：

1. 使用PHP的mysqli扩展建立持久连接(连接字符串以"p:"开头)时，大约在10次连接后会出现认证失败
2. 错误日志中记录"MySQL_Session.cpp:7437:handler___status_WAITING_CLIENT_DATA___STATE_SLEEP___MYSQL_COM_CHANGE_USER(): [ERROR] ProxySQL Error: Access denied"
3. 通过tcpdump抓包分析，发现客户端发送了"COM_CHANGE_USER"请求包，而ProxySQL返回了1045错误
4. 非持久连接(不使用"p:"前缀)则完全正常

技术分析

COM_CHANGE_USER命令

COM_CHANGE_USER是MySQL协议中的一个命令，允许客户端在不关闭连接的情况下切换用户。持久连接池在重用连接时可能会使用此命令来重置会话状态。

ProxySQL 2.6.x的变化

2.6.0版本引入了对caching_sha2_password认证插件的支持，这带来了认证流程的一些改动。虽然用户报告显示他们仍在使用mysql_native_password，但底层认证处理逻辑的变化可能影响了COM_CHANGE_USER命令的处理。

PHP持久连接机制

PHP的持久连接(persistent connection)特性会保持数据库连接在请求结束后不立即关闭，而是放入连接池供后续请求重用。这种机制下，连接重用时会发送COM_CHANGE_USER命令来重置会话状态。

影响范围

该问题主要影响：

1. 使用PHP mysqli/pdo_mysql扩展的应用程序
2. 启用了持久连接功能的应用
3. ProxySQL 2.6.x版本
4. 使用mysql_native_password认证方式的环境

临时解决方案

目前可行的临时解决方案包括：

1. 降级回ProxySQL 2.5.5版本
2. 在PHP应用中禁用持久连接功能
3. 等待官方修复并升级到包含修复的新版本

深入技术细节

从抓包分析可以看出，问题的核心在于ProxySQL 2.6.3对COM_CHANGE_USER命令的处理逻辑发生了变化。当PHP的持久连接机制尝试重用连接并发送COM_CHANGE_USER命令时，ProxySQL未能正确处理认证流程，导致返回了错误的1045认证失败响应。

这个问题特别值得注意，因为它只出现在特定条件下：

• 必须使用持久连接
• 需要多次连接后才会触发
• 仅在使用连接池设置时出现

总结

ProxySQL 2.6.3版本中引入的认证流程改动导致了对COM_CHANGE_USER命令处理的兼容性问题。虽然官方正在调查此问题，但目前建议受影响的用户考虑上述临时解决方案。对于生产环境，在升级到2.6.x版本前应充分测试持久连接场景下的认证流程。