MySQLi 在使用 SSL 时是否默认验证服务器证书？

Question

这是我通常使用 SSL 连接到 MySQL 数据库的方式：

$db = mysqli_init();
mysqli_ssl_set(
    $db,
    NULL,
    NULL,
    '/etc/ssl/my-certs/ssl-ca.crt.pem',
    NULL,
    NULL
);
mysqli_real_connect(
    $db,
    'db.example.com',
    'john',
    '123456',
    NULL,
    NULL,
    NULL,
    MYSQLI_CLIENT_SSL
);

阅读mysqli::options 的PHP 文档时，我注意到MYSQLI_OPT_SSL_VERIFY_SERVER_CERT 选项的存在，我认为这是让MySQLi 验证服务器证书的选项。不幸的是，文档中没有MYSQLI_OPT_SSL_VERIFY_SERVER_CERT 的描述。这个选项的存在让我怀疑我是否一直不安全地连接到 MySQL。现在我想知道安全连接到 MySQL 的正确方法是否是这样的：

$db = mysqli_init();
mysqli_options($db, MYSQLI_OPT_SSL_VERIFY_SERVER_CERT, true);  // <- Attention.
mysqli_ssl_set(
    $db,
    NULL,
    NULL,
    '/etc/ssl/my-certs/ssl-ca.crt.pem',
    NULL,
    NULL
);
mysqli_real_connect(
    $db,
    'db.example.com',
    'john',
    '123456',
    NULL,
    NULL,
    NULL,
    MYSQLI_CLIENT_SSL
);

所以，我的问题是：

1. MYSQLI_OPT_SSL_VERIFY_SERVER_CERT是否默认设置为true？
2. MYSQLI_OPT_SSL_VERIFY_SERVER_CERT 有什么作用？ （请引用）
3. 使用 MySQLi 连接到远程 MySQL 数据库的正确（安全）方法是什么？

（注意：这是What's the difference between MYSQLI_CLIENT_SSL and MYSQLI_OPT_SSL_VERIFY_SERVER_CERT?的后续问题）

Answer 1

请求的答案

事实是，MYSQLI_OPT_SSL_VERIFY_SERVER_CERT 没有效果。 它是一个未使用的常数。我刚刚通过扫描source code 验证了这一点。

那么，您的问题仍然存在：MySQLi 连接是否默认检查服务器证书？

简短回答：是的，他们是。

长答案：虽然证书与通常受信任的Certificate Authorities 列表不匹配，但仍会在建立连接时验证提供的 CA（即使是自签名的）以缓解MITM-attacks。

从工程角度回答

当连接到 MySQL 服务器时，我根本不建议使用 SSL 连接，因为它们会增加几层缺点（加密、带宽、解密、内存使用量增加、总体往返时间增加）。更好的方法是在受信任的本地网络内连接，或者如果服务器必须在本地网络之外（在这种情况下设计似乎是错误的），则使用某种类型的经过良好身份验证的 SOAP 接口来检索和操作数据。