之前一直忽视了MySQL的权限这一块的内容,以为一般般的知识点,随时用随时学就好了,导致自己这方面稍微有点不太明白的地方,总是踩坑,所以后来就总结一下:

1、MySQL权限系统的工作原理

、对连接的用户进行身份验证,合法的用户通过认证并建立连接。不合法的用户拒绝连接.

、对通过认证的合法用户赋予相应的权限,用户可以在这些权限范围内对数据库做相应的操作。

注意两点:

1、MySQL通过IP地址和用户名联合进行确认的,同样的一个用户名如果来自不同的IP地址,MySQL则视为不同的用户。

2、MySQL的权限在数据库启动的时候就载入内存了,当用户通过身份认证后,就在内存中进行相应权限的操作。

2、权限表的存取:

”mysql“数据库中有三个重要的权限表:

这三个表:user、host、db中,最重要的权限表是user表,其次是db表,要掌握这两个。user标准一共分为四部分:用户列、权限列、安全列、资源控制列。

用的最多的就是用户列和权限列,权限列又分为普通权限和管理权限。普通权限指对数据库的操作:如select_priv、create_priv。而管理权限指对数据库的管理:process_priv、super_priv等。

3、当用户通过权限认证、进行权限分配的流程是这样子的:

1、权限分配按照user->db->tables_priv->columns_priv的顺序进行权限分配,即先检查全局权限表user,如果user中对应权限为‘Y’,则此用户对所有的数据库的权限都为‘Y’,此时不再检查db、tables_priv和columns_priv这些表。

2、如果user中对应权限为‘N’,则到db表中检查此用户对应的具体数据库,并得到db中为‘Y’的权限;

3、如果db中相应的权限为‘N’,则检查table_priv中此数据库对应的具体表,取得表中为‘Y’的权限;

4、如果tables_priv中相应权限为'N',则检查columns_priv中此表对应的具体列,取得列中为'Y'的权限。

我们可以看个例子:





 4、账号管理


1、我们常用的授权all privileges到底有哪些权限呢?以及带来的安全隐患有哪些?




mysql> grant all privileges on *.* to 'test'@'%' identified by '' ;

Query OK, 0 rows affected, 1 warning (0.01 sec)

mysql> select * from user where user='test'\G

*************************** 1. row ***************************

                  Host: %

                  User: test

           Select_priv: Y

           Insert_priv: Y

           Update_priv: Y

           Delete_priv: Y

           Create_priv: Y

             Drop_priv: Y

           Reload_priv: Y

         Shutdown_priv: Y

          Process_priv: Y

             File_priv: Y

            Grant_priv: N

       References_priv: Y

            Index_priv: Y

            Alter_priv: Y

          Show_db_priv: Y

            Super_priv: Y

 Create_tmp_table_priv: Y

      Lock_tables_priv: Y

          Execute_priv: Y

       Repl_slave_priv: Y

      Repl_client_priv: Y

      Create_view_priv: Y

        Show_view_priv: Y

   Create_routine_priv: Y

    Alter_routine_priv: Y

      Create_user_priv: Y

            Event_priv: Y

          Trigger_priv: Y

Create_tablespace_priv: Y

        account_locked: N




看得出来当授予all privileges权限的时候,除了没有grant_priv权限和account_locked以为,其他的权限全部都有,这是非常危险的。并且还能从任意主机来登陆MySQL数据库,在安全方面做得相当差,所以一般情况下我们最好不要这样子设置。如果有必要的话才可以这样做,此外我们也会见到这样子的操作:




mysql> grant all privileges on *.* to 'test'@'%' identified by '' with grant option;

Query OK, 0 rows affected, 1 warning (0.00 sec)




后面加上了”with grant option“参数,表示赋予grant_priv权限。那么此时这个用户真的是拥有了超级用户的管理权限了。在生产环境中最好慎用。


2、创建账户的时候最好分配指定的权限,这样子安全也高




就像这样子的,让某个用户仅对某个数据库拥有一部分权限即可。本例中的权限适合于大多数应用账号。不过本例中的IP是设置为所有的主机都可连接,建议还是指定特定的主机进行连接。




注意:MySQL数据库的user表中host的值为”%“或为空,表示所有外部IP都可以连接,但是不宝库哦本地服务器localhost,因此要包括本地服务器,必须单独为localhost赋予权限。


 3、管理权限SUPER、PROCESS、FILE权限给用户




这三个权限要慎用给一般用户。最好是不要把这三个权限授权给管理员以外的用户。


我们来看一下这三个权限的作用是什么:


1)FILE权限




2)PROCESS权限




3)SUPER权限




4、除root外,任何用户不要有mysql库user表的操作权限




5、权限外流




6、revoke命令的漏洞


这个是说用户被多次赋予权限,由于各种原因,需要将此用户的权限全部取消,此时revoke命令可能并不会按照我们的意愿执行。




mysql> show grants for 'test'@'%';

+-------------------------------------------------------------+

| Grants for test@%                                           |

+-------------------------------------------------------------+

| GRANT ALL PRIVILEGES ON *.* TO 'test'@'%' WITH GRANT OPTION |

| GRANT ALL PRIVILEGES ON `haha`.* TO 'test'@'%'              |

+-------------------------------------------------------------+

2 rows in set (0.00 sec)




此时取消这个用户的全部权限




mysql> revoke all privileges on *.* from 'test'@'%';

Query OK, 0 rows affected (0.00 sec)

mysql> show grants for 'test'@'%';

+----------------------------------------------------+

| Grants for test@%                                  |

+----------------------------------------------------+

| GRANT USAGE ON *.* TO 'test'@'%' WITH GRANT OPTION |

| GRANT ALL PRIVILEGES ON `haha`.* TO 'test'@'%'     |

+----------------------------------------------------+

2 rows in set (0.00 sec)




现在我们使用这个test用户登陆MySQL查看一下是否对haha这个数据库有操作权限。




mysql> select user();

+----------------+

| user()         |

+----------------+

| test@localhost |

+----------------+

1 row in set (0.00 sec)

mysql> use haha

Database changed

mysql> insert into hehe values (1,'chaofeng');

Query OK, 1 row affected (0.00 sec)




真是没想到居然还能操作。




所以说我们要亲自取消这个才行




mysql> revoke all ON haha.* from 'test'@'%';

Query OK, 0 rows affected (0.00 sec)

mysql> show grants for 'test'@'%';

+----------------------------------------------------+

| Grants for test@%                                  |

+----------------------------------------------------+

| GRANT USAGE ON *.* TO 'test'@'%' WITH GRANT OPTION |

+----------------------------------------------------+

1 row in set (0.00 sec)




这个时候就行了。
												


											
MySQL权限管理分配的更多相关文章
	

    
								
  1. mysql权限管理命令示例
		
    mysql权限管理命令示例 grant all privileges on *.* to *.* identified by 'hwalk1'; flush privileges; insert in ...
    
		
    2. 
						
  2. mysql 权限管理 目录
		
    mysql 权限管理介绍 mysql 权限管理 记录 mysql 权限管理 grant 命令 mysql 权限管理 revoke 回收权限 命令 mysql 权限管理 针对库 授权 db.* mysq ...
    
		
    3. 
						
  3. mysql 权限管理介绍
		
    mysql权限管理 就是对控制用户对库.对表的权限.对表中字段权限 权限管理分步 1.创建账号 创建账号有本地账号和远程账号 本地账号 本地账号只能在mysql服务端机器做操作 '; # mysql  ...
    
		
    4. 
						
  4. MySQL权限管理、配置文件(三)
		
    一.MySQL权限管理 GRANT 权限 ON 授权范围 TO '用户名'@'允许的ip(所有%)' IDENTIFIED BY '用户密码'; 权限:参加下表,一般常用的是CREATE.DELETE ...
    
		
    5. 
						
  5. Mysql——权限管理
		
    安装Mysql时会自动安装一个名为mysql的数据库.这个数据库下面存储的是权限表. mysql> show databases; +--------------------+ | Databa ...
    
		
    6. 
						
  6. 数据库——MySQL——权限管理
		
    关于MySQL的权限管理,可以理解为是MySQL运行你做的事情.比如MySQL允许你执行select操作那么你就不能用update操作.如果你让你在某台机器上连接MySQL,那么你就不能在这个机器以外 ...
    
		
    7. 
						
  7. 转  MySQL权限管理
		
    ###sample: #####view all userSELECT user, host from mysql.user;mysql> SELECT user, host from mysq ...
    
		
    8. 
						
  8. MySQL用户管理+MySQL权限管理
		
    我们现在默认使用的都是root用户,超级管理员,拥有全部的权限! 但是,一个公司里面的数据库服务器上面可能同时运行着很多个项目的数据库! 所以,我们应该可以根据不同的项目建立不同的用户,分配不同的权限 ...
    
		
    9. 
						
  9. MySQL权限管理实战
		
    前言: 不清楚各位同学对数据库用户权限管理是否了解,作为一名 DBA ,用户权限管理是绕不开的一项工作内容.特别是生产库,数据库用户权限更应该规范管理.本篇文章将会介绍下 MySQL 用户权限管理相关 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. “网红架构师”解决你的Ceph 运维难题
			
    欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由Tstack发表于云+社区专栏 本文为长篇连续剧,将分多个篇幅发表,主要介绍了从动手部署环境到后期运营故障处理过程中常见的问题,内容由 ...
    
			
    2. 
						
  2. java设计模式-菜鸟网络
			
    http://www.runoob.com/design-pattern/singleton-pattern.html
    
			
    3. 
						
  3. 一篇你看了就懂的DNS详解
			
    DNS(Domain Name System,域名系统),万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住IP. 通过域名,最终得到该域名对应的IP地址 ...
    
			
    4. 
						
  4. idea调试springmvc出现java.lang.ClassNotFoundException: org.springframework.web.context.ContextLoaderListener
			
    idea调试springmvc出现java.lang.ClassNotFoundException: org.springframework.web.context.ContextLoaderList ...
    
			
    5. 
						
  5. 一个Time TodoList实例了解redux在wepy中的使用
			
    @subject: wepy-redux-time-todo @author: leinov @date:2018-10-30 @notice: 小程序(wepy)开发群110647537 欢迎加入  ...
    
			
    6. 
						
  6. [转]magento 2 modes – 每种模式的特点及如何切换(翻译)
			
    本文转自:https://www.hellomagento2.com/switch-magento-2-system-modes/ 原文地址 在开始 Magento 2 使用之前,需要了解一些基本的东 ...
    
			
    7. 
						
  7. ASP.NET MVC的ContentResult
			
    ASP.NET MVC的ContentResult返回简单的纯文本内容,可通过ContentType属性指定应答文档类型,通过ContentEncoding属性指定应答文档的字符编码. 一个例子来演习 ...
    
			
    8. 
						
  8. Java基础——Servlet(二)
			
    好久没有写博客了,最近有在学习.可能是遇到瓶颈了,学到Servlet这里觉得有些吃力.前几天已经学完一遍了,但是学完之后觉得还是很迷茫.去知乎和百度上搜索,遇到的都是一些概念之类的讲解.核心的介绍说, ...
    
			
    9. 
						
  9. Android Service基础知识你知道多少?
			
    Android四大组件-Service 多次调用startService会怎样?会执行多次onCreate吗? StopService在哪里调用?stopSelf在哪调用? 怎样使Service被ki ...
    
			
    10. 
						
  10. 转载 - java中接口的向上转型。和多态性
			
    发现一篇对接口总结很精简的文章 1.在java中接口就是一个完全抽象的类,跟抽象类一样不能产生对象,但是可以作为对象的引用,可以由其实现类向上转型,它就跟超类一样, 向上转型了,可以很好的利用接口,可 ...
    
			
    11.