MySQL权限管理

MySQL权限管理

2016年11月25日 11:23:42

阅读数：5710

用户和权限管理：

语法

grant 权限 on 数据库.数据表 to '用户' @ '主机名';

例：给 xiaogang 分配全部的权限

grant all on *.* to 'xiaogang'@'%';

这个时候 xiaogang 就拥有了 全部权限了

 

权限列表

权限	说明	举例
usage	链接（登录）权限，创建一个用户，就会自动授予其usage权限（默认授予）。	mysql>  grant usage on *.* to 'root′@'localhost' identified by '123';
该权限只能用于数据库登录，不能执行任何操做；且usage权限不能被回收，也即REVOKE用户并不能删除用户。
file	拥有file权限才能够执行  select ..into outfile和load data infile…操做，可是不要把file, process,  super权限授予管理员之外的帐号，这样存在严重的安全隐患。	mysql>  grant file on *.* to root@localhost;
mysql> load data infile '/home/mysql/pet.txt' into table pet;
super	这个权限容许用户终止任何查询；修改全局变量的SET语句；使用CHANGE  MASTER，PURGE MASTER LOGS。	mysql>  grant super on *.* to root@localhost;
mysql> purge master logs before 'mysql-bin.000006′;
select	必须有select的权限，才可使用select  table	mysql>  grant select on pyt.* to 'root′@'localhost';
mysql> select * from shop;
insert	必须有insert的权限，才可使用insert  into ….. values….	mysql>  grant insert on pyt.* to 'root′@'localhost';
mysql> insert into shop(name) values('aa');
update	必须有update的权限，才可使用update  table	mysql>  update shop set price=3.5 where article=0001 and dealer='A';
delete	必须有delete的权限，才可使用delete  from ….where….(删除表中的记录)	mysql>  grant delete on pyt.* to 'root′@'localhost';
mysql> delete from table where id=1;
alter	必须有alter的权限，才可使用alter  table	mysql>  alter table shop modify dealer char(15);
alter routine	必须具备alter  routine的权限，才可使用{alter |drop} {procedure|function}	mysql>grant  alter routine on pyt.* to 'root′@' localhost ‘;
mysql> drop procedure pro_shop;
Query OK, 0 rows affected (0.00 sec)
create	必须有create的权限，才可使用create  table	mysql>  grant create on pyt.* to 'root′@'localhost';
drop	必须有drop的权限，才能够删除库、表、索引、视图等	mysql>  drop database db_name;
mysql> drop table tab_name;
mysql> drop view vi_name;
mysql> drop index in_name;
create routine	必须具备create  routine的权限，才可使用{create |alter|drop} {procedure|function}	mysql>  grant create routine on pyt.* to 'root′@'localhost';
当授予create routine时，自动授予EXECUTE, ALTER ROUTINE权限给它的建立者：
create temporary tables	(注意这里是tables，不是table)	必须有create  temporary tables的权限，才可使用create temporary tables.
mysql> grant create temporary tables on pyt.* to  'root′@'localhost';
[mysql@mydev ~]$ mysql -h localhost -u root -p pyt
mysql> create temporary table tt1(id int);
create view	必须有create  view的权限，才可使用create view	mysql>  grant create view on pyt.* to 'root′@'localhost';
mysql> create view v_shop as select price from shop;
create user	要使用CREATE  USER，必须拥有mysql数据库的全局CREATE USER权限，或拥有INSERT权限。	mysql>  grant create user on *.* to 'root′@'localhost';
或：mysql> grant insert on *.* to root@localhost;
show database	经过show  database只能看到你拥有的某些权限的数据库，除非你拥有全局SHOW DATABASES权限。	mysql>  show databases;
对于root@localhost用户来讲，没有对mysql数据库的权限，因此以此身份登录查询时，没法看到mysql数据库：
show view	必须拥有show  view权限，才能执行show create view	mysql>  show create view name;
index	必须拥有index权限，才能执行[create  |drop] index	mysql>  grant index on pyt.* to root@localhost;
mysql> create index ix_shop on shop(article);
mysql> drop index ix_shop on shop;
excute	执行存在的Functions,Procedures	mysql>  call pro_shoroot(0001,@a)；
event	event的使用频率较低建议使用root用户进行建立和维护。	mysql>  show global variables like 'event_scheduler';
要使event起做用，MySQL的常量GLOBAL event_scheduler必须为on或者是1
lock tables	必须拥有lock  tables权限，才可使用lock tables	mysql>  grant lock tables on pyt.* to root@localhost;
mysql> lock tables a1 read;
mysql> unlock tables;
references	有了REFERENCES权限，用户就能够将其它表的一个字段做为某一个表的外键约束。
reload	必须拥有reload权限，才能够执行flush  [tables | logs | privileges]	mysql>  grant reload on pyt.* to root@localhost;
ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES
mysql> grant reload on *.* to 'root′@'localhost';
Query OK, 0 rows affected (0.00 sec)
mysql> flush tables;
replication client	拥有此权限能够查询master  server、slave server状态。	mysql>  grant Replication client on *.* to root@localhost;
或：mysql> grant super on *.* to root@localhost;
mysql> show master status;
replication slave	拥有此权限能够查看从服务器，从主服务器读取二进制日志。	mysql>  grant replication slave on *.* to root@localhost;
mysql> show slave hosts;
Empty set (0.00 sec)
mysql>show binlog events;
Shutdown	关闭mysql权限	[mysql@mydev  ~]$ mysqladmin shutdown
grant option	拥有grant  option，就能够将本身拥有的权限授予其余用户（仅限于本身已经拥有的权限）	mysql>  grant Grant option on pyt.* to root@localhost;
mysql> grant select on pyt.* to p2@localhost;
process	经过这个权限，用户能够执行SHOW  PROCESSLIST和KILL命令。默认状况下，每一个用户均可以执行SHOW PROCESSLIST命令，可是只能查询本用户的进程。	mysql>  show processlist;
all privileges	全部权限。with  grant option 能够连带受权	mysql>  grant all privileges on pyt.* to root@localhost with grant option;

·  管理权限（如 super， process， file等）不可以指定某个数据库，on后面必须跟 *.*

·   有人会问truncate权限呢，其实truncate权限就是create+drop，这点须要注意

 

查看用户受权信息

mysql> show grants for bzfys;

+-------------------------------------------------------------------------------------------------------+

| Grants for bzfys@%                                                                                   |

+-------------------------------------------------------------------------------------------------------+

| GRANT USAGE ON *.* TO bzfys@'%' IDENTIFIED BY PASSWORD '*A399693A49F7EC7C548D0FC376FA52AD293A552F' |

+-------------------------------------------------------------------------------------------------------+

1 row in set (0.00 sec)

通常状况赋予的权限

用户管理

mysql>use mysql;

1、查看

mysql> select host,user,password from user ;

2、建立

mysql> create user  bzfys   IDENTIFIED by 'xxxxx';   //identified by 会将纯文本密码加密做为散列值存储

3、修改

mysql>rename   user  bzfys to   buzaifengyaosha；//mysql 5以后可使用，以前须要使用update 更新user表

4、删除

mysql>drop user buzaifengyaosha;   //mysql5以前删除用户时必须先使用revoke 删除用户权限，而后删除用户，mysql5以后drop 命令能够删除用户的同时删除用户的相关权限

5、更改密码（若是找回root密码必须用这种方式）

mysql> set password for bzfys =password('xxxxxx');

 mysql> update  mysql.user  set  password=password('xxxx')  where user=’bzfys’;5.8之后须要修改的列为authentication_string列update  mysql.user  set  authentication_string=password('xxxx')  where user=’bzfys’

6、查看用户权限

mysql> show grants for bzfys;

7、赋予权限

mysql> grant select on bzfys_db.*  to bzfys;

回收权限

mysql> revoke  select on bzfys_db.*  from  bzfys;  //若是权限不存在会报错

 上面的命令也可以使用多个权限同时赋予和回收，权限之间使用逗号分隔

mysql> grant select，update，delete  ，insert  on bzfys_db.*  to  bzfys;

若是想当即看到结果使用

flush  privileges ;

命令更新 

 

设置权限时必须给出一下信息

1，要授予的权限

2，被授予访问权限的数据库或表

3，用户名

grant和revoke能够在几个层次上控制访问权限

1，整个服务器，使用 grant ALL  和revoke  ALL

2，整个数据库，使用on  database.*

3，特色表，使用on  database.table

4，特定的列

5，特定的存储过程

 

user表中host列的值的意义

%              匹配全部主机

localhost    localhost不会被解析成IP地址，直接经过UNIXsocket链接

127.0.0.1      会经过TCP/IP协议链接，而且只能在本机访问；

::1                 ::1就是兼容支持ipv6的，表示同ipv4的127.0.0.1

 

 

grant 普通数据用户，查询、插入、更新、删除 数据库中全部表数据的权利。

grant select on testdb.* to common_user@’%’

grant insert on testdb.* to common_user@’%’

grant update on testdb.* to common_user@’%’

grant delete on testdb.* to common_user@’%’

或者，用一条 MySQL 命令来替代：

grant select, insert, update, delete on testdb.* to common_user@’%’

9>.grant 数据库开发人员，建立表、索引、视图、存储过程、函数。。。等权限。

grant 建立、修改、删除 MySQL 数据表结构权限。

grant create on testdb.* to developer@’192.168.0.%’;

grant alter on testdb.* to developer@’192.168.0.%’;

grant drop on testdb.* to developer@’192.168.0.%’;

grant 操做 MySQL 外键权限。

grant references on testdb.* to developer@’192.168.0.%’;

grant 操做 MySQL 临时表权限。

grant create temporary tables on testdb.* to developer@’192.168.0.%’;

grant 操做 MySQL 索引权限。

grant index on testdb.* to developer@’192.168.0.%’;

grant 操做 MySQL 视图、查看视图源代码 权限。

grant create view on testdb.* to developer@’192.168.0.%’;

grant show view on testdb.* to developer@’192.168.0.%’;

grant 操做 MySQL 存储过程、函数 权限。

grant create routine on testdb.* to developer@’192.168.0.%’; -- now, can show procedure status

grant alter routine on testdb.* to developer@’192.168.0.%’; -- now, you can drop a procedure

grant execute on testdb.* to developer@’192.168.0.%’;

10>.grant 普通 DBA 管理某个 MySQL 数据库的权限。

grant all privileges on testdb to dba@’localhost’

其中，关键字 “privileges” 能够省略。

11>.grant 高级 DBA 管理 MySQL 中全部数据库的权限。

grant all on *.* to dba@’localhost’

12>.MySQL grant 权限，分别能够做用在多个层次上。

1. grant 做用在整个 MySQL 服务器上：

grant select on *.* to dba@localhost; -- dba 能够查询 MySQL 中全部数据库中的表。

grant all on *.* to dba@localhost; -- dba 能够管理 MySQL 中的全部数据库

2. grant 做用在单个数据库上：

grant select on testdb.* to dba@localhost; -- dba 能够查询 testdb 中的表。

3. grant 做用在单个数据表上：

grant select, insert, update, delete on testdb.orders to dba@localhost;

4. grant 做用在表中的列上：

grant select(id, se, rank) on testdb.apache_log to dba@localhost;

5. grant 做用在存储过程、函数上：

grant execute on procedure testdb.pr_add to ’dba’@’localhost’

grant execute on function testdb.fn_add to ’dba’@’localhost’

注意：修改完权限之后 必定要刷新服务，或者重启服务，刷新服务用：FLUSH PRIVILEGES。

 

grant create routine, alter routine, execute ON `blacklist`.* TO 'blacklist'@'%';

create routine建立存储过程

alter routine, 修改存储过程

execute：执行存储过程