说说MySQL权限

前言

今天继续MySQL系列文章,讲讲MySQL权限相关的内容。我们都知道,在写系统的时候,都会有权限相关的服务,以达到权限控制的目的。以最简单的权限菜单为例: 管理员拥有最大权限,可以查看系统下所有菜单。操作员只拥有部分菜单权限。同样的,在MySQL数据库中也有相应的权限管理。例如:数据库连接权限,新增,修改,查询权限等等。下面我们就一一揭晓MySQL权限的真实面貌。

授权方式

在讲 MySQL 权限之前,我们不得不先熟悉下MySQL中常见的两种授权方式。

姑且称为:授权法 和 改表法 吧。

1. 授权法

标准语法如下:

grant all on db_name.table_name to ‘user_name‘@‘host_name‘;

其中:

  1. grant 为MySQL关键字。
  2. all 表示所有权限,也可以授予部分权限,如select,insert,update,create,drop等等。
  3. db_name 表示数据库名。其中:* 表示该数据库实例中的所有数据库。
  4. table_name 为db_name数据库中的表名。其中:* 表示db_name数据库中的所有表。
  5. user_name 表示数据库服务器中已经存在的用户名。
  6. host_name 表示允许连接的主机。(localhost / 127.0.0.1 表示本机,% 表示任何主机,也可以用域名表示。)

以设置root用户允许远程连接为例:

给 root 用户设置该实例上所有数据库的所有权限,且允许其通过任意主机连接该实例。则可以用下述语句表示:

grant all on *.* to ‘root‘@‘%‘;

2. 改表法

你一定很好奇,MySQL是如何判断用户是否有某数据库的权限?是否有某表的权限?
其实呀,在MySQL中是有特定数据结构来存储这部分信息的。我们可以按照下述步骤来找到它,甚至可以来修改它,以达到修改权限的目的。

  1. 首先,我们登录到MySQL服务器。
  2. 进入MySQL服务器中自带的 mysql 数据库中。
  3. 找到 mysql 数据中的 user 表,修改对应用户的信息即可。

以设置root用户允许远程连接为例:

use mysql;

update user set host="%" where user="root";

flush privileges;

执行以上语句后,我们可以通过以下语检查是否生效:

show grants for ‘root‘@‘%‘;

值得注意的是:

为了权限验证时的高效性。MySQL在服务启动时,就会将权限数据加载在内存中。因此,授权法 与 改表法 会有以下细微差异:

  1. 我们在使用 grant 命令时,即授权法。其会自动通知MySQL服务器重新加载一次权限数据。以达到即时生效的效果。
  2. 但当我们使用改表法时。是没有通知重新加载权限数据的。因此会导致其不会即时生效。直至服务重启后生效。服务重启,特别是生产环境,那几乎是灾难性的。好在MySQL为我们提供了手动通知的命令。即:flush privilege命令。

例如:

mysql> flush privileges;
Query OK, 0 rows affected (0.01 sec)

连接权限

通过上面的介绍,我们现在应该已经知道了MySQL中常见的授权方式。现在就从实际角度来用用。我们都知道在MySQL中默认是不允许root用户远程登录的。我们通过以下命令修改即可:

grant all on *.* to ‘root‘@‘%‘;
  1. 如果想设置成通过指定的IP登录,则可以将 %替换成特定的IP即可。
  2. 如果想设置成通过指定的IP段登录,即可以将%替换成192.168.1.%即可。

(其中: 将192.168.1修改成你想要IP段即可!)

表权限

知道了连接权限,我们再来说说表权限。以几种常见的场景为例:

  1. 设置用户 andyqian 在 customer 数据库中的 t_user 表的所有权限。

    grant all on customer.t_user to ‘andyqian‘@‘%‘;
  2. 设置用户 andyqian 在 customer 数据库中 t_user 表的只读权限。
    grant select on customer.t_user to ‘andyqian‘@‘%‘;

    当仅仅只设置只读权限时,执行update命令会有如下错误信息:

    mysql> update t_user set name="sansan",updated_at=now() where oid=1;
    ERROR 1142 (42000): UPDATE command denied to user ‘andyqian‘@‘localhost‘ for table ‘t_user
  3. 设置用户andyqian在 customer 数据库中 t_user 表的可读可写权限。
    grant select,insert,update on customer.t_user to ‘andyqian‘@‘%‘;

    当仅仅只设置可读,可写,可修改权限时,执行drop命令会有如下错误信息:

    mysql> drop table t_user;
    ERROR 1142 (42000): DROP command denied to user ‘andyqian‘@‘%‘ for table ‘t_user

    列权限

    在某些场景下,我们需要将权限精确到列上。我们也可以使用 grant命令来实现。

  4. 设置指定列的insert权限时:
    grant insert(created_at,updated_at) on customer.t_user to ‘andyqian‘@‘localhost‘;
  5. ```
    mysql> insert into t_user(name,created_at,updated_at)values(‘name‘,now(),now());
    ERROR 1143 (42000): INSERT command denied to user ‘andyqian‘@‘localhost‘ for column ‘name‘ in table ‘t_user‘

    撤销权限

    有添加权限,肯定也少不了撤销权限。其语法与grant基本一致。仅仅只是关键字不同

  6. 撤销 用户 andyqian 对 customer数据库中的t_user表 created_atupdated_at字段的新增权限。
    revoke insert(created_at,updated_at) on customer.t_user from ‘andyqian‘@‘localhost‘;

查看用户权限

上面说到,如果用户执行没有权限的命令时。则会显示错误信息。为了避免这种情况发生。我们可以先通过以下命令来查看当前用户拥有的权限。

命令: show grants for ‘user_name‘@‘localhost‘

其可以使用current_user()函数来表示当前登录用户。

例如:

mysql> show grants for current_user();
+-----------------------------------------------------------------------+
| Grants for andyqian@localhost                                         |
+-----------------------------------------------------------------------+
| GRANT USAGE ON *.* TO ‘andyqian‘@‘localhost‘                          |
| GRANT SELECT, INSERT ON `customer`.`t_user` TO ‘andyqian‘@‘localhost‘ |
+-----------------------------------------------------------------------+
2 rows in set (0.00 sec)
  1. 其中第一句: USAGE 表示没有特殊权限的意思。使用 show grants命令查看时,通常会一起显示在结果列表中。
  2. 第二句则表示用户 andyqian 在customer数据库中的t_user表中有select,insert 权限。

最后

有很多童鞋会觉得:数据库管理,SQL优化,索引建立等等,都是DBA的事情。开发人员不需要了解。我认为这种认知是错误的,数据库设计本身就是后端工程师工作职责的一部分。DBA 应该是设计的审核者,而不是建立者。

原文地址:https://www.cnblogs.com/joyny/p/10508935.html

时间: 2024-10-16 04:30:17

说说MySQL权限的相关文章

MySQL权限及删除MySQL的匿名账户

MySQL权限系统的工作原理 MySQL权限系统通过下面两个阶段进行认证: (1)对连接的用户进行身份认证,合法的用户通过认证,不合法的用户拒绝连接: (2)对通过认证的合法用户赋予相应的权限,用户可以在这些权限范围内对数据库做相应的操作. 对于身份的认证,MySQL是通过IP地址和用户名联合进行确认的,例如MySQL安装后默认创建的用户[email protected]表示用户root只能从本地(localhost)进行连接才可以通过认证,此用户从其他任何主机对数据库进行的连接都将被拒绝.也就

170424、Mysql权限控制 - 允许用户远程连接

Mysql为了安全性,在默认情况下用户只允许在本地登录,可是在有此情况下,还是需要使用用户进行远程连接,因此为了使其可以远程需要进行如下操作: 一.允许root用户在任何地方进行远程登录,并具有所有库任何操作权限, 具体操作如下: 在本机先使用root用户登录mysql: mysql -u root -p"youpassword" 进行授权操作: mysql>GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'youp

Mysql权限控制 - 允许用户远程连接(转载)

Mysql为了安全性,在默认情况下用户只允许在本地登录,可是在有此情况下,还是需要使用用户进行远程连接,因此为了使其可以远程需要进行如下操作: 一.允许root用户在任何地方进行远程登录,并具有所有库任何操作权限, 具体操作如下: 在本机先使用root用户登录mysql: mysql -u root -p"youpassword" 进行授权操作: mysql>GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'youp

MySQL优化之——为用户开通mysql权限

转载请注明出处:http://blog.csdn.net/l1028386804/article/details/46627263 为用户开通mysql权限: grant all privileges on *.* to liuyz @"%" identified by "liuyz"; flush privileges;

MySQL权限说明

--MySQL权限说明 ----------------------2014/06/09 一.权限表 mysql数据库中的3个权限表:user .db. host 权限表的存取过程是: 1)先从user表中的host. user. password这3个字段中判断连接的IP.用户名.密码是否存在表中,存在则通过身份验证: 2)通过权限验证,进行权限分配时,按照user db tables_priv columns_priv的顺序进行分配.即先检查全局权限表user,如果user中对应的权限为Y,

【MySQL学习笔记】MySQL权限表

MySQL权限表,控制用户对数据库的访问,存在mysql数据库中,由mysql_install_db初始化,包括user,db,host,tables_priv,columns_priv,procs_priv 1.user表,记录允许连接到服务器的账号信息,权限为全局级. 用户列(包括host,user,password,前二者为user表的联合主键). 权限列,描述用户权限,值为N or Y,默认值都为N,修改需要靠grant或update 安全列 n  两个ssl相关,用于加密,show v

mysql 权限控制

1.mysql的权限是,从某处来的用户对某对象的权限. 2.mysql的权限采用白名单策略,指定用户能做什么,没有指定的都不能做. 3.权限校验分成两个步骤: a.能不能连接,检查从哪里来,用户名和密码,常见错误 ERROR 1045 (28000): Access denied for user ... b.能不能执行操作,粒度从粗到细,分别为:mysql.user,  mysql.db,  msql.tables_priv,  mysql.columns_priv,  mysql.proc_

mysql 权限控制详解

概述 mysql权限控制在不同的上下文和不同的操作水平上都可以进行控制,他们包括如下几个 ** 管理权限可以允许用户管理mysql server的操作.这些权限控制是全局的,不是针对某个特定的数据库的 ** 数据库权限对应到一个数据库和里面的对象.这些权限被用来控制特定的数据库或者全局的,他们能够应用到所有的数据库 ** 数据库对象的权限对应到数据库表,索引,视图,和存储过程,可以对数据库内部的某个对象进行授权控制. 权限的存储位置 ** 账号权限信息被存储在mysql数据库的user,db,t

MySQL权限和用户管理

Mysql权限系统(由mysql权限表进行控制user和db)通过下面两个方面进行认证: 1)对于连接的用户进行身份验证,合法的通过验证,不合法的拒绝连接. 2)对于通过连接认证的用户,可以在合法的范围内对数据库进行操作. Mysql的权限表在数据库启动时就被载入内存,当用户通过身份认证后,就可以在内存中进行相应的权限存取,对数据库进行相应的操作.在权限存取的过程中,mysql数据库会用到其内部"mysql"数据库的user.db.host权限表.其中最重要的是user权限表,其内容主

mysql权限的误操作的恢复

mysql权限的误操作的恢复 原因:由于误操作,我把repl用户授予了所有权限,但删除了数据库中的其他用户及权限,因此repl用户虽然具有操作所有数据库的权限,但没有grant权限,所以若想授予其他用户权限,来管理数据库,出现这种状况就酷毙了,没有授予权限怎麽办? 误操作过程: mysql >grant all on *.* to 'repl'@'192.168.1.%' identified by '123456'; mysql> flush privileges; 授予完以后,我把其他的所