Mysql 用户和权限管理

Posted linux学习笔记

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Mysql 用户和权限管理相关的知识,希望对你有一定的参考价值。

用户和权限管理:

语法

grant 权限 on 数据库.数据表 to ‘用户‘ @ ‘主机名‘;

例:给 xiaogang 分配所有的权限

grant all on *.* to ‘xiaogang‘@‘%‘;

这个时候 xiaogang 就拥有了 所有权限了

 

权限列表

权限

说明

举例

usage

连接(登陆)权限,建立一个用户,就会自动授予其usage权限(默认授予)。

mysql>  grant usage on *.* to ‘root′@‘localhost‘ identified by ‘123‘;

   该权限只能用于数据库登陆,不能执行任何操作;且usage权限不能被回收,也即REVOKE用户并不能删除用户。

file

拥有file权限才可以执行  select ..into outfile和load data infile…操作,但是不要把file, process,  super权限授予管理员以外的账号,这样存在严重的安全隐患。

mysql>  grant file on *.* to [email protected];

   mysql> load data infile ‘/home/mysql/pet.txt‘ into table pet;

super

这个权限允许用户终止任何查询;修改全局变量的SET语句;使用CHANGE  MASTER,PURGE MASTER LOGS。

mysql>  grant super on *.* to [email protected];

   mysql> purge master logs before ‘mysql-bin.000006′;

select

必须有select的权限,才可以使用select  table

mysql>  grant select on pyt.* to ‘root′@‘localhost‘;

   mysql> select * from shop;

insert

必须有insert的权限,才可以使用insert  into ….. values….

mysql>  grant insert on pyt.* to ‘root′@‘localhost‘;

   mysql> insert into shop(name) values(‘aa‘);

update

必须有update的权限,才可以使用update  table

mysql>  update shop set price=3.5 where article=0001 and dealer=‘A‘;

delete

必须有delete的权限,才可以使用delete  from ….where….(删除表中的记录)

mysql>  grant delete on pyt.* to ‘root′@‘localhost‘;

   mysql> delete from table where id=1;

alter

必须有alter的权限,才可以使用alter  table

mysql>  alter table shop modify dealer char(15);

alter routine

必须具有alter  routine的权限,才可以使用{alter |drop} {procedure|function}

mysql>grant  alter routine on pyt.* to ‘root′@‘ localhost ‘;

   mysql> drop procedure pro_shop;

   Query OK, 0 rows affected (0.00 sec)

create

必须有create的权限,才可以使用create  table

mysql>  grant create on pyt.* to ‘root′@‘localhost‘;

drop

必须有drop的权限,才可以删除库、表、索引、视图等

mysql>  drop database db_name; 

   mysql> drop table tab_name;

   mysql> drop view vi_name; 

   mysql> drop index in_name;

create routine

必须具有create  routine的权限,才可以使用{create |alter|drop} {procedure|function}

mysql>  grant create routine on pyt.* to ‘root′@‘localhost‘;

   当授予create routine时,自动授予EXECUTE, ALTER ROUTINE权限给它的创建者:

create temporary tables

(注意这里是tables,不是table)

必须有create  temporary tables的权限,才可以使用create temporary tables.

   mysql> grant create temporary tables on pyt.* to  ‘root′@‘localhost‘;

   [[email protected] ~]$ mysql -h localhost -u root -p pyt

   mysql> create temporary table tt1(id int);

create view

必须有create  view的权限,才可以使用create view

mysql>  grant create view on pyt.* to ‘root′@‘localhost‘;

   mysql> create view v_shop as select price from shop;

create user

要使用CREATE  USER,必须拥有mysql数据库的全局CREATE USER权限,或拥有INSERT权限。

mysql>  grant create user on *.* to ‘root′@‘localhost‘;

   或:mysql> grant insert on *.* to [email protected];

show database

通过show  database只能看到你拥有的某些权限的数据库,除非你拥有全局SHOW DATABASES权限。

mysql>  show databases;

   对于[email protected]用户来说,没有对mysql数据库的权限,所以以此身份登陆查询时,无法看到mysql数据库:

show view

必须拥有show  view权限,才能执行show create view

mysql>  show create view name;

index

必须拥有index权限,才能执行[create  |drop] index

mysql>  grant index on pyt.* to [email protected];

   mysql> create index ix_shop on shop(article);

   mysql> drop index ix_shop on shop;

excute

执行存在的Functions,Procedures

mysql>  call pro_shoroot(0001,@a);

event

event的使用频率较低建议使用root用户进行创建和维护。

mysql>  show global variables like ‘event_scheduler‘;

   要使event起作用,MySQL的常量GLOBAL event_scheduler必须为on或者是1

lock tables

必须拥有lock  tables权限,才可以使用lock tables

mysql>  grant lock tables on pyt.* to [email protected];

   mysql> lock tables a1 read;

   mysql> unlock tables;

references

有了REFERENCES权限,用户就可以将其它表的一个字段作为某一个表的外键约束。

 

reload

必须拥有reload权限,才可以执行flush  [tables | logs | privileges]

mysql>  grant reload on pyt.* to [email protected];

   ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES

   mysql> grant reload on *.* to ‘root′@‘localhost‘;

   Query OK, 0 rows affected (0.00 sec)

   mysql> flush tables;

replication client

拥有此权限可以查询master  server、slave server状态。

mysql>  grant Replication client on *.* to [email protected];

   或:mysql> grant super on *.* to [email protected];

   mysql> show master status;

replication slave

拥有此权限可以查看从服务器,从主服务器读取二进制日志。

mysql>  grant replication slave on *.* to [email protected];

   mysql> show slave hosts;

   Empty set (0.00 sec)

   mysql>show binlog events;

Shutdown

关闭mysql权限

[[email protected]  ~]$ mysqladmin shutdown

grant option

拥有grant  option,就可以将自己拥有的权限授予其他用户(仅限于自己已经拥有的权限)

mysql>  grant Grant option on pyt.* to [email protected];

   mysql> grant select on pyt.* to [email protected];

process

通过这个权限,用户可以执行SHOW  PROCESSLIST和KILL命令。默认情况下,每个用户都可以执行SHOW PROCESSLIST命令,但是只能查询本用户的进程。

mysql>  show processlist;

all privileges

所有权限。with  grant option 可以连带授权

mysql>  grant all privileges on pyt.* to [email protected] with grant option;


·  管理权限(如 super, process, file等)不能够指定某个数据库,on后面必须跟 *.*

·   有人会问truncate权限呢,其实truncate权限就是create+drop,这点需要注意

 

查看用户授权信息

mysql> show grants for bzfys;

+-------------------------------------------------------------------------------------------------------+

| Grants for [email protected]%                                                                                   |

+-------------------------------------------------------------------------------------------------------+

| GRANT USAGE ON *.* TO [email protected]‘%‘ IDENTIFIED BY PASSWORD ‘*A399693A49F7EC7C548D0FC376FA52AD293A552F‘ |

+-------------------------------------------------------------------------------------------------------+

1 row in set (0.00 sec)

一般情况赋予的权限

用户管理

mysql>use mysql;

一、查看

mysql> select host,user,password from user ;

二、创建

mysql> create user  bzfys   IDENTIFIED by ‘xxxxx‘;   //identified by 会将纯文本密码加密作为散列值存储

三、修改

mysql>rename   user  bzfys to   buzaifengyaosha;//mysql 5之后可以使用,之前需要使用update 更新user表

四、删除

mysql>drop user buzaifengyaosha;   //mysql5之前删除用户时必须先使用revoke 删除用户权限,然后删除用户,mysql5之后drop 命令可以删除用户的同时删除用户的相关权限

五、更改密码(如果找回root密码必须用这种方式)

mysql> set password for bzfys =password(‘xxxxxx‘);

 mysql> update  mysql.user  set  password=password(‘xxxx‘)  where user=’bzfys’;5.8以后需要修改的列为authentication_string列update  mysql.user  set  authentication_string=password(‘xxxx‘)  where user=’bzfys’

六、查看用户权限

mysql> show grants for bzfys;

七、赋予权限

mysql> grant select on bzfys_db.*  to bzfys;

回收权限

mysql> revoke  select on bzfys_db.*  from  bzfys;  //如果权限不存在会报错

 上面的命令也可使用多个权限同时赋予和回收,权限之间使用逗号分隔

mysql> grant select,update,delete  ,insert  on bzfys_db.*  to  bzfys;

如果想立即看到结果使用

flush  privileges ;

命令更新 

 

设置权限时必须给出一下信息

1,要授予的权限

2,被授予访问权限的数据库或表

3,用户名

grant和revoke可以在几个层次上控制访问权限

1,整个服务器,使用 grant ALL  和revoke  ALL

2,整个数据库,使用on  database.*

3,特点表,使用on  database.table

4,特定的列

5,特定的存储过程

 

user表中host列的值的意义

%              匹配所有主机

localhost    localhost不会被解析成IP地址,直接通过UNIXsocket连接

127.0.0.1      会通过TCP/IP协议连接,并且只能在本机访问;

::1                 ::1就是兼容支持ipv6的,表示同ipv4的127.0.0.1

 

 

grant 普通数据用户,查询、插入、更新、删除 数据库中所有表数据的权利。

grant select on testdb.* to [email protected]’%’

grant insert on testdb.* to [email protected]’%’

grant update on testdb.* to [email protected]’%’

grant delete on testdb.* to [email protected]’%’

或者,用一条 MySQL 命令来替代:

grant select, insert, update, delete on testdb.* to [email protected]’%’

9>.grant 数据库开发人员,创建表、索引、视图、存储过程、函数。。。等权限。

grant 创建、修改、删除 MySQL 数据表结构权限。

grant create on testdb.* to [email protected]’192.168.0.%’;

grant alter on testdb.* to [email protected]’192.168.0.%’;

grant drop on testdb.* to [email protected]’192.168.0.%’;

grant 操作 MySQL 外键权限。

grant references on testdb.* to [email protected]’192.168.0.%’;

grant 操作 MySQL 临时表权限。

grant create temporary tables on testdb.* to [email protected]’192.168.0.%’;

grant 操作 MySQL 索引权限。

grant index on testdb.* to [email protected]’192.168.0.%’;

grant 操作 MySQL 视图、查看视图源代码 权限。

grant create view on testdb.* to [email protected]’192.168.0.%’;

grant show view on testdb.* to [email protected]’192.168.0.%’;

grant 操作 MySQL 存储过程、函数 权限。

grant create routine on testdb.* to [email protected]’192.168.0.%’; -- now, can show procedure status

grant alter routine on testdb.* to [email protected]’192.168.0.%’; -- now, you can drop a procedure

grant execute on testdb.* to [email protected]’192.168.0.%’;

10>.grant 普通 DBA 管理某个 MySQL 数据库的权限。

grant all privileges on testdb to [email protected]’localhost’

其中,关键字 “privileges” 可以省略。

11>.grant 高级 DBA 管理 MySQL 中所有数据库的权限。

grant all on *.* to [email protected]’localhost’

12>.MySQL grant 权限,分别可以作用在多个层次上。

1. grant 作用在整个 MySQL 服务器上:

grant select on *.* to [email protected]; -- dba 可以查询 MySQL 中所有数据库中的表。

grant all on *.* to [email protected]; -- dba 可以管理 MySQL 中的所有数据库

2. grant 作用在单个数据库上:

grant select on testdb.* to [email protected]; -- dba 可以查询 testdb 中的表。

3. grant 作用在单个数据表上:

grant select, insert, update, delete on testdb.orders to [email protected];

4. grant 作用在表中的列上:

grant select(id, se, rank) on testdb.apache_log to [email protected];

5. grant 作用在存储过程、函数上:

grant execute on procedure testdb.pr_add to ’dba’@’localhost’

grant execute on function testdb.fn_add to ’dba’@’localhost’

注意:修改完权限以后 一定要刷新服务,或者重启服务,刷新服务用:FLUSH PRIVILEGES。

 

grant create routine, alter routine, execute ON `blacklist`.* TO ‘blacklist‘@‘%‘;

create routine创建存储过程

alter routine, 修改存储过程

execute:执行存储过程

以上是关于Mysql 用户和权限管理的主要内容,如果未能解决你的问题,请参考以下文章

MySQL—— 用户创建和权限管理

MySQL权限管理

18. 用户与权限管理

MySQL之用户和权限管理

数据库 之 MySQL用户和权限管理

mysql---用户和权限管理复习