MySQL之权限管理
⼀、MySQL权限简介
关于mysql的权限简单的理解就是mysql允许你做你全⼒以内的事情,不可以越界。⽐如只允许你执⾏select操作,那么你就不能执⾏update操作。只允许你从某台机器上连接mysql,那么你就不能从除那台机器以外的其他机器连接mysql。
那么Mysql的权限是如何实现的呢?这就要说到mysql的两阶段验证,下⾯详细介绍:第⼀阶段:服务器⾸先会检查你是否允许连接。因为创建⽤户的时候会加上主机限制,可以限制成本地、某个IP、某个IP段、以及任何地⽅等,只允许你从配置的指定地⽅登陆。第⼆阶段:如果你能连接,Mysql会检查你发出的每个请求,看你是否有⾜够的权限实施它。⽐如你要更新某个表、或者查询某个表,Mysql会查看你对哪个表或者某个列是否有权限。再⽐如,你要运⾏某个存储过程,Mysql会检查你对存储过程是否有执⾏权限等。
MYSQL到底都有哪些权限呢?从官⽹复制⼀个表来看看:
权限权限级别权限说明
CREATE数据库、表或索引创建数据库、表或索引权
限
DROP数据库或表删除数据库或表权限
GRANT OPTION数据库、表或保存的程序赋予权限选项
REFERENCES数据库或表
ALTER表更改表,⽐如添加字段、
索引等
DELETE表删除数据权限
INDEX表索引权限
INSERT表插⼊权限
SELECT表查询权限
UPDATE表更新权限
CREATE VIEW视图创建视图权限
SHOW VIEW视图查看视图权限
ALTER ROUTINE存储过程更改存储过程权限
CREATE ROUTINE存储过程创建存储过程权限
python安s4EXECUTE存储过程执⾏存储过程权限
FILE服务器主机上的⽂件访问⽂件访问权限
CREATE TEMPORARY TABLES服务器管理创建临时表权限
LOCK TABLES服务器管理锁表权限
CREATE USER服务器管理创建⽤户权限
PROCESS服务器管理查看进程权限
RELOAD
服务器管理
执⾏flush-hosts, flush-logs, flush-privileges, flush-status, flush-tables, flush-threads, refresh, reload等命令的权限
REPLICATION CLIENT服务器管理复制权限
REPLICATION SLAVE服务器管理复制权限
SHOW DATABASES服务器管理查看数据库权限
SHUTDOWN服务器管理关闭数据库权限
SUPER服务器管理执⾏kill线程权限
MYSQL的权限如何分布,就是针对表可以设置什么权限,针对列可以设置什么权限等等,这个可以从官⽅⽂档中的⼀个表来说明:
湖人总冠军权限分
布
可能的设置的权限
表权限'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter'
列权限'Select', 'Insert', 'Update', 'References'过程权
限
'Execute', 'Alter Routine', 'Grant'⼆、MySQL权限经验原则:
mysql查看所有存储过程权限控制主要是出于安全因素,因此需要遵循⼀下⼏个经验原则:
1、只授予能满⾜需要的最⼩权限,防⽌⽤户⼲坏事。⽐如⽤户只是需要查询,那就只给select权限就可以了,不要给⽤户赋予update、insert或者delete权限。
2、创建⽤户的时候限制⽤户的登录主机,⼀般是限制成指定IP或者内⽹IP段。
3、初始化数据库的时候删除没有密码的⽤户。安装完数据库的时候会⾃动创建⼀些⽤户,这些⽤户默认没有密码。
4、为每个⽤户设置满⾜密码复杂度的密码。
5、定期清理不需要的⽤户。回收权限或者删除⽤户。
三、MySQL权限实战:
1、GRANT命令使⽤说明:
先来看⼀个例⼦,创建⼀个只允许从本地登录的超级⽤户jack,并允许将权限赋予别的⽤户,密码为:jack.
mysql>grant all privileges on*.*to jack@'localhost' identified by "jack" with grant option;
Query OK, 0 rows affected (0.01 sec)
GRANT命令说明:
ALL PRIVILEGES是表⽰所有权限,你也可以使⽤select、update等权限。
ON⽤来指定权限针对哪些库和表。
*.*中前⾯的*号⽤来指定数据库名,后⾯的*号⽤来指定表名。
TO表⽰将权限赋予某个⽤户。
表⽰jack⽤户,@后⾯接限制的主机,可以是IP、IP段、域名以及%,%表⽰任何地⽅。注意:这⾥%有的版本不包括本地,以前碰到过给某个⽤户设置了%允许任何地⽅登录,但是在本地登录不了,这个和版本有关系,遇到这个问题再加⼀个localhost的⽤户就可以了。
IDENTIFIED BY指定⽤户的登录密码。
WITH GRANT OPTION这个选项表⽰该⽤户可以将⾃⼰拥有的权限授权给别⼈。注意:经常有⼈在创建操作⽤户的时候不指定WITH GRANT OPTION选项导致后来该⽤户不能使⽤GRANT命令创建⽤户或者给其它⽤户授权。
备注:可以使⽤GRANT重复给⽤户添加权限,权限叠加,⽐如你先给⽤户添加⼀个select权限,然后⼜给⽤户添加⼀个insert权限,那么该⽤户就同时拥有了select和insert权限。
2、刷新权限
使⽤这个命令使权限⽣效,尤其是你对那些权限表user、db、host等做了update或者delete更新的时候。以前遇到过使⽤grant后权限没有更新的情况,只要对权限做了更改就使⽤FLUSH PRIVILEGES命令来刷新权限。
mysql> flush privileges;
Query OK, 0 rows affected (0.01 sec)
3、查看权限
查看当前⽤户的权限:
mysql> show grants;
+---------------------------------------------------------------------+
| Grants for root@localhost|
+---------------------------------------------------------------------+
|GRANT ALL PRIVILEGES ON*.*TO'root'@'localhost'WITH GRANT OPTION|
|GRANT PROXY ON''@''TO'root'@'localhost'WITH GRANT OPTION|
+---------------------------------------------------------------------+
2 rows in set (0.00 sec)
查看某个⽤户的权限:
mysql> show grants for'jack'@'%';
+-----------------------------------------------------------------------------------------------------+
| Grants for jack@%|
+-----------------------------------------------------------------------------------------------------+
|GRANT USAGE ON*.*TO'jack'@'%' IDENTIFIED BY PASSWORD '*9BCDC990E611B8D852EFAF1E3919AB6AC8C8A9F0'|
+-----------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)
4、回收权限
mysql>revoke delete on*.*from'jack'@'localhost';
Query OK, 0 rows affected (0.01 sec)
5、删除⽤户
mysql>select host,user,password from user;
+-----------+------+-------------------------------------------+
| host |user| password |
+-----------+------+-------------------------------------------+
| localhost | root ||
| rhel5.4| root ||
|127.0.0.1| root ||
| ::1| root ||
| localhost |||
| rhel5.4|||
| localhost | jack |*9BCDC990E611B8D852EFAF1E3919AB6AC8C8A9F0 |
+-----------+------+-------------------------------------------+
7 rows in set (0.00 sec)
mysql>drop user'jack'@'localhost';
Query OK, 0 rows affected (0.01 sec)
6、对账户重命名
mysql> rename user'jack'@'%'to'jim'@'%';
Query OK, 0 rows affected (0.00 sec)
7、修改密码
1、⽤set password命令
mysql>SET PASSWORD FOR'root'@'localhost'= PASSWORD('123456');
Query OK, 0 rows affected (0.00 sec)
2、⽤mysqladmin
[root@rhel5 ~]# mysqladmin -uroot -p123456 password 1234abcd
备注:
格式:mysqladmin -u⽤户名-p旧密码 password 新密码
3、⽤update直接编辑user表
mysql>use mysql
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with-A
Database changed
mysql>update user set PASSWORD = PASSWORD('1234abcd') where user='root';
Query OK, 1 row affected (0.01 sec)
Rows matched: 1 Changed: 1 Warnings: 0
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
4、在丢失root密码的时候:
[root@rhel5 ~]# mysqld_safe --skip-grant-tables &
[1]15953
[root@rhel5 ~]# 13091109:35:33 mysqld_safe Logging to'/mysql/mysql5.5/data/'.
13091109:35:33 mysqld_safe Starting mysqld daemon with databases from/mysql/mysql5.5/data
[root@rhel5 ~]# mysql -u root
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is2
Server version: 5.5.22 Source distribution
Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;'or'\h'for help. Type '\c'to clear the current input statement.
mysql> \s
--------------
mysql Ver 14.14 Distrib 5.5.22, for Linux (i686) using EditLine wrapper
Connection id: 2
Current database:
Current user: root@
SSL: Not in use
Current pager: stdout
Using outfile: ''
Using delimiter: ;
Server version: 5.5.22 Source distribution
函数instr是什么意思Protocol version: 10
Connection: Localhost via UNIX socket
Server characterset: utf8
shell脚本字体颜Db characterset: utf8
Client characterset: utf8
Conn. characterset: utf8
UNIX socket: /tmp/mysql.sock
Uptime: 36 sec
Threads: 1 Questions: 5 Slow queries: 0 Opens: 23 Flush tables: 1Open tables: 18 Queries per second avg: 0.138
--------------objectivec麦子学院
mysql>use mysql
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with-A
Database changed
mysql>update user set password = PASSWORD('123456') where user='root'; Query OK, 1 row affected (0.00 sec)
Rows matched: 1 Changed: 1 Warnings: 0
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论