之前一直忽视了MySQL的权限这一块的内容,以为一般般的知识点,随时用随时学就好了,导致自己这方面稍微有点不太明白的地方,总是踩坑,所以后来就总结一下:

1、MySQL权限系统的工作原理

、对连接的用户进行身份验证,合法的用户通过认证并建立连接。不合法的用户拒绝连接.

、对通过认证的合法用户赋予相应的权限,用户可以在这些权限范围内对数据库做相应的操作。

注意两点:

1、MySQL通过IP地址和用户名联合进行确认的,同样的一个用户名如果来自不同的IP地址,MySQL则视为不同的用户。

2、MySQL的权限在数据库启动的时候就载入内存了,当用户通过身份认证后,就在内存中进行相应权限的操作。

2、权限表的存取:

”mysql“数据库中有三个重要的权限表:

这三个表:user、host、db中,最重要的权限表是user表,其次是db表,要掌握这两个。user标准一共分为四部分:用户列、权限列、安全列、资源控制列。

用的最多的就是用户列和权限列,权限列又分为普通权限和管理权限。普通权限指对数据库的操作:如select_priv、create_priv。而管理权限指对数据库的管理:process_priv、super_priv等。

3、当用户通过权限认证、进行权限分配的流程是这样子的:

1、权限分配按照user->db->tables_priv->columns_priv的顺序进行权限分配,即先检查全局权限表user,如果user中对应权限为‘Y’,则此用户对所有的数据库的权限都为‘Y’,此时不再检查db、tables_priv和columns_priv这些表。

2、如果user中对应权限为‘N’,则到db表中检查此用户对应的具体数据库,并得到db中为‘Y’的权限;

3、如果db中相应的权限为‘N’,则检查table_priv中此数据库对应的具体表,取得表中为‘Y’的权限;

4、如果tables_priv中相应权限为'N',则检查columns_priv中此表对应的具体列,取得列中为'Y'的权限。

我们可以看个例子:





 4、账号管理


1、我们常用的授权all privileges到底有哪些权限呢?以及带来的安全隐患有哪些?




mysql> grant all privileges on *.* to 'test'@'%' identified by '' ;

Query OK, 0 rows affected, 1 warning (0.01 sec)

mysql> select * from user where user='test'\G

*************************** 1. row ***************************

                  Host: %

                  User: test

           Select_priv: Y

           Insert_priv: Y

           Update_priv: Y

           Delete_priv: Y

           Create_priv: Y

             Drop_priv: Y

           Reload_priv: Y

         Shutdown_priv: Y

          Process_priv: Y

             File_priv: Y

            Grant_priv: N

       References_priv: Y

            Index_priv: Y

            Alter_priv: Y

          Show_db_priv: Y

            Super_priv: Y

 Create_tmp_table_priv: Y

      Lock_tables_priv: Y

          Execute_priv: Y

       Repl_slave_priv: Y

      Repl_client_priv: Y

      Create_view_priv: Y

        Show_view_priv: Y

   Create_routine_priv: Y

    Alter_routine_priv: Y

      Create_user_priv: Y

            Event_priv: Y

          Trigger_priv: Y

Create_tablespace_priv: Y

        account_locked: N




看得出来当授予all privileges权限的时候,除了没有grant_priv权限和account_locked以为,其他的权限全部都有,这是非常危险的。并且还能从任意主机来登陆MySQL数据库,在安全方面做得相当差,所以一般情况下我们最好不要这样子设置。如果有必要的话才可以这样做,此外我们也会见到这样子的操作:




mysql> grant all privileges on *.* to 'test'@'%' identified by '' with grant option;

Query OK, 0 rows affected, 1 warning (0.00 sec)




后面加上了”with grant option“参数,表示赋予grant_priv权限。那么此时这个用户真的是拥有了超级用户的管理权限了。在生产环境中最好慎用。


2、创建账户的时候最好分配指定的权限,这样子安全也高




就像这样子的,让某个用户仅对某个数据库拥有一部分权限即可。本例中的权限适合于大多数应用账号。不过本例中的IP是设置为所有的主机都可连接,建议还是指定特定的主机进行连接。




注意:MySQL数据库的user表中host的值为”%“或为空,表示所有外部IP都可以连接,但是不宝库哦本地服务器localhost,因此要包括本地服务器,必须单独为localhost赋予权限。


 3、管理权限SUPER、PROCESS、FILE权限给用户




这三个权限要慎用给一般用户。最好是不要把这三个权限授权给管理员以外的用户。


我们来看一下这三个权限的作用是什么:


1)FILE权限




2)PROCESS权限




3)SUPER权限




4、除root外,任何用户不要有mysql库user表的操作权限




5、权限外流




6、revoke命令的漏洞


这个是说用户被多次赋予权限,由于各种原因,需要将此用户的权限全部取消,此时revoke命令可能并不会按照我们的意愿执行。




mysql> show grants for 'test'@'%';

+-------------------------------------------------------------+

| Grants for test@%                                           |

+-------------------------------------------------------------+

| GRANT ALL PRIVILEGES ON *.* TO 'test'@'%' WITH GRANT OPTION |

| GRANT ALL PRIVILEGES ON `haha`.* TO 'test'@'%'              |

+-------------------------------------------------------------+

2 rows in set (0.00 sec)




此时取消这个用户的全部权限




mysql> revoke all privileges on *.* from 'test'@'%';

Query OK, 0 rows affected (0.00 sec)

mysql> show grants for 'test'@'%';

+----------------------------------------------------+

| Grants for test@%                                  |

+----------------------------------------------------+

| GRANT USAGE ON *.* TO 'test'@'%' WITH GRANT OPTION |

| GRANT ALL PRIVILEGES ON `haha`.* TO 'test'@'%'     |

+----------------------------------------------------+

2 rows in set (0.00 sec)




现在我们使用这个test用户登陆MySQL查看一下是否对haha这个数据库有操作权限。




mysql> select user();

+----------------+

| user()         |

+----------------+

| test@localhost |

+----------------+

1 row in set (0.00 sec)

mysql> use haha

Database changed

mysql> insert into hehe values (1,'chaofeng');

Query OK, 1 row affected (0.00 sec)




真是没想到居然还能操作。




所以说我们要亲自取消这个才行




mysql> revoke all ON haha.* from 'test'@'%';

Query OK, 0 rows affected (0.00 sec)

mysql> show grants for 'test'@'%';

+----------------------------------------------------+

| Grants for test@%                                  |

+----------------------------------------------------+

| GRANT USAGE ON *.* TO 'test'@'%' WITH GRANT OPTION |

+----------------------------------------------------+

1 row in set (0.00 sec)




这个时候就行了。
												


											
MySQL权限管理分配的更多相关文章
	

    
								
  1. mysql权限管理命令示例
		
    mysql权限管理命令示例 grant all privileges on *.* to *.* identified by 'hwalk1'; flush privileges; insert in ...
    
		
    2. 
						
  2. mysql 权限管理 目录
		
    mysql 权限管理介绍 mysql 权限管理 记录 mysql 权限管理 grant 命令 mysql 权限管理 revoke 回收权限 命令 mysql 权限管理 针对库 授权 db.* mysq ...
    
		
    3. 
						
  3. mysql 权限管理介绍
		
    mysql权限管理 就是对控制用户对库.对表的权限.对表中字段权限 权限管理分步 1.创建账号 创建账号有本地账号和远程账号 本地账号 本地账号只能在mysql服务端机器做操作 '; # mysql  ...
    
		
    4. 
						
  4. MySQL权限管理、配置文件(三)
		
    一.MySQL权限管理 GRANT 权限 ON 授权范围 TO '用户名'@'允许的ip(所有%)' IDENTIFIED BY '用户密码'; 权限:参加下表,一般常用的是CREATE.DELETE ...
    
		
    5. 
						
  5. Mysql——权限管理
		
    安装Mysql时会自动安装一个名为mysql的数据库.这个数据库下面存储的是权限表. mysql> show databases; +--------------------+ | Databa ...
    
		
    6. 
						
  6. 数据库——MySQL——权限管理
		
    关于MySQL的权限管理,可以理解为是MySQL运行你做的事情.比如MySQL允许你执行select操作那么你就不能用update操作.如果你让你在某台机器上连接MySQL,那么你就不能在这个机器以外 ...
    
		
    7. 
						
  7. 转  MySQL权限管理
		
    ###sample: #####view all userSELECT user, host from mysql.user;mysql> SELECT user, host from mysq ...
    
		
    8. 
						
  8. MySQL用户管理+MySQL权限管理
		
    我们现在默认使用的都是root用户,超级管理员,拥有全部的权限! 但是,一个公司里面的数据库服务器上面可能同时运行着很多个项目的数据库! 所以,我们应该可以根据不同的项目建立不同的用户,分配不同的权限 ...
    
		
    9. 
						
  9. MySQL权限管理实战
		
    前言: 不清楚各位同学对数据库用户权限管理是否了解,作为一名 DBA ,用户权限管理是绕不开的一项工作内容.特别是生产库,数据库用户权限更应该规范管理.本篇文章将会介绍下 MySQL 用户权限管理相关 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Java并发编程-ReentrantLock源码分析
			
    一.前言 在分析了 AbstractQueuedSynchronier 源码后,接着分析ReentrantLock源码,其实在 AbstractQueuedSynchronizer 的分析中,已经提到 ...
    
			
    2. 
						
  2. Hibernate 分页 查询
			
    昨天的作业  分页: 主要的代码块:(明天实现分页的封装) package com.cy.beans; import java.util.List; /** * 定义一个分页对象 * @author  ...
    
			
    3. 
						
  3. mysql密码篇(一)
			
    1.mysql密码样例.用于密码重置: password: e9297341f5073b9e557239592f4540ba690538058e7761822372942119992d0fsalt:  ...
    
			
    4. 
						
  4. 并发编程之 CyclicBarrier 源码分析
			
    前言 在之前的介绍 CountDownLatch 的文章中,CountDown 可以实现多个线程协调,在所有指定线程完成后,主线程才执行任务. 但是,CountDownLatch 有个缺陷,这点 JD ...
    
			
    5. 
						
  5. printf中用法详解
			
    %c 单个字符 %d 十进制整数 %f 十进制浮点数 %o 八进制数 %s 字符串 %u 无符号十进制数 %x 十六进制数 %% 输出百分号% printf的格式控制的完整格式: %  -  0  m ...
    
			
    6. 
						
  6. 无责任Windows Azure SDK .NET开发入门篇(一):开发前准备工作
			
    Windows Azure开发前准备工作 什么是 Azure SDK for .NET?微软官方告诉我们:Azure SDK for .NET 是一套应用程序,其中包括 Visual Studio 工 ...
    
			
    7. 
						
  7. VS - 未能找到与解决方案关联的源代码管理提供程序
			
    今天打开一个解决方案,Visual Studio出现了提示“未能找到与解决方案关联的源代码管理提供程序”,如图1所示:  图1 错误提示 单击“否”,发现解决方案已经不接受TFS的管理了. 注册表中H ...
    
			
    8. 
						
  8. [javascript] 看知乎学习js事件触发过程
			
    红色箭头代表捕获阶段 蓝色代表目标阶段 绿色代表冒泡阶段 调用元素对象的addEventListener()方法,参数:事件,回调函数,是否捕获(true代表捕获阶段,false代表冒泡阶段,ie浏览 ...
    
			
    9. 
						
  9. Spring Boot项目使用maven-assembly-plugin根据不同环境打包成tar.gz或者zip
			
    spring-boot-assembly 在spring boot项目中使用maven profiles和maven assembly插件根据不同环境打包成tar.gz或者zip 将spring bo ...
    
			
    10. 
						
  10. 9102年了,你还在用for循环操作集合?
			
    本文首发于cdream的个人博客,点击获得更好的阅读体验! 欢迎转载,转载请注明出处. 前段时间公司书架多了一本<Java8 实战>,毕竟久闻lambda的大名,于是借来一阅.这一看,简直 ...
    
			
    11.