之前一直忽视了MySQL的权限这一块的内容,以为一般般的知识点,随时用随时学就好了,导致自己这方面稍微有点不太明白的地方,总是踩坑,所以后来就总结一下:

1、MySQL权限系统的工作原理

、对连接的用户进行身份验证,合法的用户通过认证并建立连接。不合法的用户拒绝连接.

、对通过认证的合法用户赋予相应的权限,用户可以在这些权限范围内对数据库做相应的操作。

注意两点:

1、MySQL通过IP地址和用户名联合进行确认的,同样的一个用户名如果来自不同的IP地址,MySQL则视为不同的用户。

2、MySQL的权限在数据库启动的时候就载入内存了,当用户通过身份认证后,就在内存中进行相应权限的操作。

2、权限表的存取:

”mysql“数据库中有三个重要的权限表:

这三个表:user、host、db中,最重要的权限表是user表,其次是db表,要掌握这两个。user标准一共分为四部分:用户列、权限列、安全列、资源控制列。

用的最多的就是用户列和权限列,权限列又分为普通权限和管理权限。普通权限指对数据库的操作:如select_priv、create_priv。而管理权限指对数据库的管理:process_priv、super_priv等。

3、当用户通过权限认证、进行权限分配的流程是这样子的:

1、权限分配按照user->db->tables_priv->columns_priv的顺序进行权限分配,即先检查全局权限表user,如果user中对应权限为‘Y’,则此用户对所有的数据库的权限都为‘Y’,此时不再检查db、tables_priv和columns_priv这些表。

2、如果user中对应权限为‘N’,则到db表中检查此用户对应的具体数据库,并得到db中为‘Y’的权限;

3、如果db中相应的权限为‘N’,则检查table_priv中此数据库对应的具体表,取得表中为‘Y’的权限;

4、如果tables_priv中相应权限为'N',则检查columns_priv中此表对应的具体列,取得列中为'Y'的权限。

我们可以看个例子:





 4、账号管理


1、我们常用的授权all privileges到底有哪些权限呢?以及带来的安全隐患有哪些?




mysql> grant all privileges on *.* to 'test'@'%' identified by '' ;

Query OK, 0 rows affected, 1 warning (0.01 sec)

mysql> select * from user where user='test'\G

*************************** 1. row ***************************

                  Host: %

                  User: test

           Select_priv: Y

           Insert_priv: Y

           Update_priv: Y

           Delete_priv: Y

           Create_priv: Y

             Drop_priv: Y

           Reload_priv: Y

         Shutdown_priv: Y

          Process_priv: Y

             File_priv: Y

            Grant_priv: N

       References_priv: Y

            Index_priv: Y

            Alter_priv: Y

          Show_db_priv: Y

            Super_priv: Y

 Create_tmp_table_priv: Y

      Lock_tables_priv: Y

          Execute_priv: Y

       Repl_slave_priv: Y

      Repl_client_priv: Y

      Create_view_priv: Y

        Show_view_priv: Y

   Create_routine_priv: Y

    Alter_routine_priv: Y

      Create_user_priv: Y

            Event_priv: Y

          Trigger_priv: Y

Create_tablespace_priv: Y

        account_locked: N




看得出来当授予all privileges权限的时候,除了没有grant_priv权限和account_locked以为,其他的权限全部都有,这是非常危险的。并且还能从任意主机来登陆MySQL数据库,在安全方面做得相当差,所以一般情况下我们最好不要这样子设置。如果有必要的话才可以这样做,此外我们也会见到这样子的操作:




mysql> grant all privileges on *.* to 'test'@'%' identified by '' with grant option;

Query OK, 0 rows affected, 1 warning (0.00 sec)




后面加上了”with grant option“参数,表示赋予grant_priv权限。那么此时这个用户真的是拥有了超级用户的管理权限了。在生产环境中最好慎用。


2、创建账户的时候最好分配指定的权限,这样子安全也高




就像这样子的,让某个用户仅对某个数据库拥有一部分权限即可。本例中的权限适合于大多数应用账号。不过本例中的IP是设置为所有的主机都可连接,建议还是指定特定的主机进行连接。




注意:MySQL数据库的user表中host的值为”%“或为空,表示所有外部IP都可以连接,但是不宝库哦本地服务器localhost,因此要包括本地服务器,必须单独为localhost赋予权限。


 3、管理权限SUPER、PROCESS、FILE权限给用户




这三个权限要慎用给一般用户。最好是不要把这三个权限授权给管理员以外的用户。


我们来看一下这三个权限的作用是什么:


1)FILE权限




2)PROCESS权限




3)SUPER权限




4、除root外,任何用户不要有mysql库user表的操作权限




5、权限外流




6、revoke命令的漏洞


这个是说用户被多次赋予权限,由于各种原因,需要将此用户的权限全部取消,此时revoke命令可能并不会按照我们的意愿执行。




mysql> show grants for 'test'@'%';

+-------------------------------------------------------------+

| Grants for test@%                                           |

+-------------------------------------------------------------+

| GRANT ALL PRIVILEGES ON *.* TO 'test'@'%' WITH GRANT OPTION |

| GRANT ALL PRIVILEGES ON `haha`.* TO 'test'@'%'              |

+-------------------------------------------------------------+

2 rows in set (0.00 sec)




此时取消这个用户的全部权限




mysql> revoke all privileges on *.* from 'test'@'%';

Query OK, 0 rows affected (0.00 sec)

mysql> show grants for 'test'@'%';

+----------------------------------------------------+

| Grants for test@%                                  |

+----------------------------------------------------+

| GRANT USAGE ON *.* TO 'test'@'%' WITH GRANT OPTION |

| GRANT ALL PRIVILEGES ON `haha`.* TO 'test'@'%'     |

+----------------------------------------------------+

2 rows in set (0.00 sec)




现在我们使用这个test用户登陆MySQL查看一下是否对haha这个数据库有操作权限。




mysql> select user();

+----------------+

| user()         |

+----------------+

| test@localhost |

+----------------+

1 row in set (0.00 sec)

mysql> use haha

Database changed

mysql> insert into hehe values (1,'chaofeng');

Query OK, 1 row affected (0.00 sec)




真是没想到居然还能操作。




所以说我们要亲自取消这个才行




mysql> revoke all ON haha.* from 'test'@'%';

Query OK, 0 rows affected (0.00 sec)

mysql> show grants for 'test'@'%';

+----------------------------------------------------+

| Grants for test@%                                  |

+----------------------------------------------------+

| GRANT USAGE ON *.* TO 'test'@'%' WITH GRANT OPTION |

+----------------------------------------------------+

1 row in set (0.00 sec)




这个时候就行了。
												


											
MySQL权限管理分配的更多相关文章
	

    
								
  1. mysql权限管理命令示例
		
    mysql权限管理命令示例 grant all privileges on *.* to *.* identified by 'hwalk1'; flush privileges; insert in ...
    
		
    2. 
						
  2. mysql 权限管理 目录
		
    mysql 权限管理介绍 mysql 权限管理 记录 mysql 权限管理 grant 命令 mysql 权限管理 revoke 回收权限 命令 mysql 权限管理 针对库 授权 db.* mysq ...
    
		
    3. 
						
  3. mysql 权限管理介绍
		
    mysql权限管理 就是对控制用户对库.对表的权限.对表中字段权限 权限管理分步 1.创建账号 创建账号有本地账号和远程账号 本地账号 本地账号只能在mysql服务端机器做操作 '; # mysql  ...
    
		
    4. 
						
  4. MySQL权限管理、配置文件(三)
		
    一.MySQL权限管理 GRANT 权限 ON 授权范围 TO '用户名'@'允许的ip(所有%)' IDENTIFIED BY '用户密码'; 权限:参加下表,一般常用的是CREATE.DELETE ...
    
		
    5. 
						
  5. Mysql——权限管理
		
    安装Mysql时会自动安装一个名为mysql的数据库.这个数据库下面存储的是权限表. mysql> show databases; +--------------------+ | Databa ...
    
		
    6. 
						
  6. 数据库——MySQL——权限管理
		
    关于MySQL的权限管理,可以理解为是MySQL运行你做的事情.比如MySQL允许你执行select操作那么你就不能用update操作.如果你让你在某台机器上连接MySQL,那么你就不能在这个机器以外 ...
    
		
    7. 
						
  7. 转  MySQL权限管理
		
    ###sample: #####view all userSELECT user, host from mysql.user;mysql> SELECT user, host from mysq ...
    
		
    8. 
						
  8. MySQL用户管理+MySQL权限管理
		
    我们现在默认使用的都是root用户,超级管理员,拥有全部的权限! 但是,一个公司里面的数据库服务器上面可能同时运行着很多个项目的数据库! 所以,我们应该可以根据不同的项目建立不同的用户,分配不同的权限 ...
    
		
    9. 
						
  9. MySQL权限管理实战
		
    前言: 不清楚各位同学对数据库用户权限管理是否了解,作为一名 DBA ,用户权限管理是绕不开的一项工作内容.特别是生产库,数据库用户权限更应该规范管理.本篇文章将会介绍下 MySQL 用户权限管理相关 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 使用 Solr 创建 Core 并导入数据库数据
			
    1. 输入 http://localhost:8080/solr/index.html 来到 Solr 的管理界面: 2. 点击左侧 Core Admin --> Add Core,然后输入自己 ...
    
			
    2. 
						
  2. 以ORM的思路来从Excel文件中读取JSON数据列表
			
    1.一个常见的问题就是如何读取excel. 这里面有几个分支的问题,一个是如何使用poi读取excel,网上例子很多,但是这只解决了第一步.如何将excel读取入一定的数据结构这是第二个问题,还有就是 ...
    
			
    3. 
						
  3. 学习MVC和jQuery相关的书
			
    Insus.NET还是较喜欢看纸质书.学习ASP.NET MVC和jQuery编程,Insus.NET为了加强功力,决定再购买几本相关的书:   十月份时,还买了一本: 前两本快递刚送到手,后一本已经 ...
    
			
    4. 
						
  4. Java集合类源码解析:HashMap (基于JDK1.8)
			
    目录 前言 HashMap的数据结构 深入源码 两个参数 成员变量 四个构造方法 插入数据的方法:put() 哈希函数:hash() 动态扩容:resize() 节点树化.红黑树的拆分 节点树化 红黑 ...
    
			
    5. 
						
  5. Java基础——TreeSet
			
    TreeSet是SortedSet接口的实现类,Sorted的英文意思是分类的:选择的. TreeSet可以确保集合元素处于排序状态.与HashSet集合相比,TreeSet还提供了如下几个额外方法: ...
    
			
    6. 
						
  6. Android Service基础知识你知道多少?
			
    Android四大组件-Service 多次调用startService会怎样?会执行多次onCreate吗? StopService在哪里调用?stopSelf在哪调用? 怎样使Service被ki ...
    
			
    7. 
						
  7. HDU4845(SummerTrainingDay02-C 状态压缩bfs)
			
    拯救大兵瑞恩 Time Limit: 3000/1000 MS (Java/Others)    Memory Limit: 65535/32768 K (Java/Others)Total Subm ...
    
			
    8. 
						
  8. Codeforces833A
			
    A. The Meaningless Game time limit per test:1 second memory limit per test:256 megabytes input:stand ...
    
			
    9. 
						
  9. DRF序列化/反序列化
			
    反序列化(不推荐版):两个字段 一个为正序准备,一个为反序准备重写create update方法 1. 确定数据结构: 自己定义key book_obj = { "title":  ...
    
			
    10. 
						
  10. Angular环境搭建
			
    Angular4 随笔(一)----环境搭建 1.下载node.js 第一步:在浏览器中搜索node.js官网(https://nodejs.org/zh-cn/),根据自己系统下载相应版本,下载完成 ...
    
			
    11.