本文目錄一覽:
- 1、簡述構成mysql許可權控制步驟
- 2、MySQL 資料庫,如何分角色許可權建表?
- 3、mysql許可權表有哪些和許可權表有哪些作用
- 4、Mysql RBAC許可權控制資料庫設計(簡潔版:4張表)
- 5、mysql 許可權設置
- 6、mysql有關許可權的表都有哪幾個
簡述構成mysql許可權控制步驟
1、mysql的許可權是,從某處來的用戶對某對象的許可權。
2、mysql的許可權採用白名單策略,指定用戶能做什麼,沒有指定的都不能做。
3、許可權校驗分成兩個步驟:
a、能不能連接,檢查從哪裡來,用戶名和密碼,常見錯誤 ERROR 1045 (28000): Access denied for user …
b、能不能執行操作,粒度從粗到細,分別為:mysql.user, mysql.db, msql.tables_priv, mysql.columns_priv, mysql.proc_priv。
需要注意的是,這些表各有分工,但是在許可權分配上有一定的重合。
可以這樣理解,mysql 先檢查對大範圍是否有許可權,如果沒有再到小範圍里去檢查。比如:先檢查對這個資料庫是否有select許可權,如果有,就允許執行。如果沒有,再檢查對錶是否有select許可權,一直到最細粒度,也沒有許可權,就拒絕執行。舉例來說:要檢查張三能否控制一個團,我只要先檢查張三能否控制一個軍,如果可以,就是有許可權,如果不行,再檢查張三能否控制一個師。因此,粒度控制越細,許可權校驗的步驟越多,性能越差,需要考慮。
4、mysql服務啟動之後,就會把許可權有關的表的數據讀到內存中,對許可權做的修改,是否會即時生效?要看情況,手動修改表數據,需要 flush privileges
5、創建用戶 create user,修改密碼 set password,注意 alter user只是設置密碼過期,可以登錄,但是不能執行任何操作,必須從新設置密碼,刪除用戶 drop user
6、host+user 標示唯一的一個用戶,也就是說都叫張三,從不同地方來的張三是兩個用戶,他們有不同的許可權。
7、那麼問題來了,表中有兩條記錄:’root’@’192.168.1.101′ 和 ‘root’@’%’, 現在root來登錄,mysql 怎麼匹配呢?認為是哪個root呢?
mysql 對用戶進行了排序,先對host排序,再對user排序,小範圍在前面,大範圍在後面,從上往下匹配。
8、許可權授予,grant 許可權 on 對象 to 用戶@哪裡來 identified by 密碼
9、收回許可權,revoke 許可權 on 對象 from 用戶@哪裡來,注意revoke 必須要與grant 對應,也就是說,只能收回授予的許可權。
10、那麼問題來了,我授予張三 select的許可權,現在revoke all privileges 也不能收回張三select的許可權,因為沒有對張三 grant all privileges,怎麼解決這個問題?
使用 revoke all privileges,grant option from user
11、許可權級別:從某台主機來的某個用戶,對某個資料庫中某個表的某些列的某部分記錄,是否有許可權。
12、全局:對象是mysql服務的所有資料庫,包含服務級的管理許可權,比如showdown
13、資料庫:對象是某一個資料庫
14、表:對象是資料庫中某個表
15、列:對象是表中的某個列,比如:grant select (name) on xxx to xxx
16、程序:對象是存儲過程和方法。
17、information_scheme,資料庫和表是存放數據的,那麼誰來存放 資料庫和表這些信息呢? information_scheme 就是記錄資料庫和表的,需要注意的是,infromation_scheme沒有對應的物理文件,它是mysql在內存中維護的。
18、許可權設定原則:
a、盡量縮小許可權
b、按業務,分離用戶,不同的業務對應不同的用戶
c、避免許可權粒度太細,因為mysql許可權檢查,會影響性能。
19、文件泄密,linux下mysql客戶端執行的操作記錄在文件 ~/.mysql_history中,輸出重定向/dev/null
20、密碼丟失怎麼辦?
a、mysql啟動,增加選項重置密碼
b、mysql啟動,增加選項不檢查許可權,登陸後修改密碼,退出重啟啟動。
MySQL 資料庫,如何分角色許可權建表?
角色一直存在各個資料庫中,比如 SQL Server、Oracle 等,MySQL 自從版本 8.0 release,引入了角色這個概念。
角色的概念
角色就是一組針對各種資料庫許可權的集合。比如,把一個角色分配給一個用戶,那這個用戶就擁有了這個角色包含的所有許可權。一個角色可以分配給多個用戶,另外一個用戶也可以擁有多個角色,兩者是多對多的關係。不過 MySQL 角色目前還沒有提供類似於其他資料庫的系統預分配的角色。比如某些資料庫的 db_owner、 db_datareader 、 db_datawriter 等等。那接下來我分幾個方面,來示例說明角色的使用以及相關注意事項。
示例 1:一個完整角色的授予步驟
用管理員創建三個角色:db_owner, db_datareader, db_datawriter
mysql create role db_owner,db_datareader,db_datawriter;
Query OK, 0 rows affected (0.02 sec)
mysql grant all on ytt_new.* to db_owner;
Query OK, 0 rows affected (0.01 sec)
mysql grant select on ytt_new.* to db_datareader;
Query OK, 0 rows affected (0.01 sec)
mysql grant insert,delete,update on ytt_new.* to db_datawriter;
Query OK, 0 rows affected (0.01 sec)
創建三個普通用戶,分別為 ytt1、ytt2、ytt3。mysql create user ytt1 identified by ‘ytt’,ytt2 identified by ‘ytt’,ytt3 identified by ‘ytt’;Query OK, 0 rows affected (0.01 sec)
分別授予這三個用戶對應的角色。
— 授權角色
mysql grant db_owner to ytt1;
Query OK, 0 rows affected (0.02 sec)
— 激活角色
mysql set default role db_owner to ytt1;
Query OK, 0 rows affected (0.00 sec)
mysql grant db_datareader to ytt2;
Query OK, 0 rows affected (0.01 sec)
mysql set default role db_datareader to ytt2;
Query OK, 0 rows affected (0.01 sec)
mysql grant db_datawriter to ytt3;
Query OK, 0 rows affected (0.01 sec)
mysql set default role db_datawriter to ytt3;
Query OK, 0 rows affected (0.01 sec)
以上是角色授予的一套完整步驟。那上面有點非常規的地方是激活角色這個步驟。MySQL 角色在創建之初默認是沒有激活的,也就是說創建角色,並且給一個用戶特定的角色,這個用戶其實並不能直接使用這個角色,除非激活了才可以。
示例 2:一個用戶可以擁有多個角色
— 用管理員登錄並且創建用戶
mysql create user ytt4 identified by ‘ytt’;
Query OK, 0 rows affected (0.00 sec)
— 把之前的三個角色都分配給用戶ytt4.
mysql grant db_owner,db_datareader,db_datawriter to ytt4;
Query OK, 0 rows affected (0.01 sec)
— 激活用戶ytt4的所有角色.
mysql set default role all to ytt4;
Query OK, 0 rows affected (0.02 sec)
— ytt4 用戶登錄
root@ytt-pc:/var/lib/mysql# mysql -uytt4 -pytt -P3304 -hytt-pc
…
— 查看當前角色列表
mysql select current_role();
+——————————————————–+
| current_role() |
+——————————————————–+
| `db_datareader`@`%`,`db_datawriter`@`%`,`db_owner`@`%` |
+——————————————————–+
1 row in set (0.00 sec)
— 簡單創建一張表並且插入記錄, 檢索記錄,完了刪掉這張表
mysql use ytt_new
Database changed
mysql create table t11(id int);
Query OK, 0 rows affected (0.05 sec)
mysql insert into t11 values (1);
Query OK, 1 row affected (0.02 sec)
mysql select * from t11;
+——+
| id |
+——+
| 1 |
+——+
1 row in set (0.00 sec)
mysql drop table t11;
Query OK, 0 rows affected (0.04 sec)
示例 3:用戶在當前 session 里角色互換
其實意思是說,用戶連接到 MySQL 伺服器後,可以切換當前的角色列表,比如由 db_owner 切換到 db_datareader。
— 還是之前的用戶ytt4, 切換到db_datareader
mysql set role db_datareader;
Query OK, 0 rows affected (0.00 sec)
mysql select current_role();
+———————+
| current_role() |
+———————+
| `db_datareader`@`%` |
+———————+
1 row in set (0.00 sec)
— 切換後,沒有許可權創建表
mysql create table t11(id int);
ERROR 1142 (42000): CREATE command denied to user ‘ytt4’@’ytt-pc’ for table ‘t11’
— 切換到 db_owner,恢復所有許可權。
mysql set role db_owner;
Query OK, 0 rows affected (0.00 sec)
mysql create table t11(id int);
Query OK, 0 rows affected (0.04 sec)
示例 4:關於角色的兩個參數
activate_all_roles_on_login:是否在連接 MySQL 服務時自動激活角色mandatory_roles:強制所有用戶默認角色
— 用管理員連接MySQL,
— 設置默認激活角色
mysql set global activate_all_roles_on_login=on;
Query OK, 0 rows affected (0.00 sec)
— 設置強制給所有用戶賦予角色db_datareader
mysql set global mandatory_roles=’db_datareader’;
Query OK, 0 rows affected (0.00 sec)
— 創建用戶ytt7.
mysql create user ytt7;
Query OK, 0 rows affected (0.01 sec)
— 用 ytt7登錄資料庫
root@ytt-pc:/var/lib/mysql# mysql -uytt7 -P3304 -hytt-pc
…
mysql show grants;
+——————————————-+
| Grants for ytt7@% |
+——————————————-+
| GRANT USAGE ON *.* TO `ytt7`@`%` |
| GRANT SELECT ON `ytt_new`.* TO `ytt7`@`%` |
| GRANT `db_datareader`@`%` TO `ytt7`@`%` |
+——————————————-+
3 rows in set (0.00 sec)
示例 5 :create role 和 create user 都有創建角色許可權,兩者有啥區別?
以下分別創建兩個用戶 ytt8、ytt9,一個給 create role,一個給 create user 許可權。
— 管理員登錄,創建用戶ytt8,ytt9.
mysql create user ytt8,ytt9;
Query OK, 0 rows affected (0.01 sec)
mysql grant create role on *.* to ytt8;
Query OK, 0 rows affected (0.02 sec)
mysql grant create user on *.* to ytt9;
Query OK, 0 rows affected (0.01 sec)
— 用ytt8 登錄,
root@ytt-pc:/var/lib/mysql# mysql -uytt8 -P3304 -hytt-pc
…
mysql create role db_test;
Query OK, 0 rows affected (0.02 sec)
— 可以創建角色,但是不能創建用戶
mysql create user ytt10;
ERROR 1227 (42000): Access denied; you need (at least one of) the CREATE USER privilege(s) for this operation
mysql \q
Bye
— 用ytt9 登錄
root@ytt-pc:/var/lib/mysql# mysql -uytt9 -P3304 -hytt-pc
…
— 角色和用戶都能創建
mysql create role db_test2;
Query OK, 0 rows affected (0.02 sec)
mysql create user ytt10;
Query OK, 0 rows affected (0.01 sec)
mysql \q
Bye
那這裡其實看到 create user 包含了 create role,create user 即可以創建用戶,也可以創建角色。
示例 6:MySQL 用戶也可以當角色來用
— 用管理員登錄,創建用戶ytt11,ytt12.
mysql create user ytt11,ytt12;
Query OK, 0 rows affected (0.01 sec)
mysql grant select on ytt_new.* to ytt11;
Query OK, 0 rows affected (0.01 sec)
— 把ytt11普通用戶的許可權授予給ytt12
mysql grant ytt11 to ytt12;
Query OK, 0 rows affected (0.01 sec)
— 來查看 ytt12的許可權,可以看到擁有了ytt11的許可權
mysql show grants for ytt12;
+———————————–+
| Grants for ytt12@% |
+———————————–+
| GRANT USAGE ON *.* TO `ytt12`@`%` |
| GRANT `ytt11`@`%` TO `ytt12`@`%` |
+———————————–+
2 rows in set (0.00 sec)
— 在細化點,看看ytt12擁有哪些具體的許可權
mysql show grants for ytt12 using ytt11;
+——————————————–+
| Grants for ytt12@% |
+——————————————–+
| GRANT USAGE ON *.* TO `ytt12`@`%` |
| GRANT SELECT ON `ytt_new`.* TO `ytt12`@`%` |
| GRANT `ytt11`@`%` TO `ytt12`@`%` |
+——————————————–+
3 rows in set (0.00 sec)
示例 7:角色的撤銷
角色撤銷和之前許可權撤銷類似。要麼 revoke,要麼刪除角色,那這個角色會從所有擁有它的用戶上移除。
— 用管理員登錄,移除ytt2的角色
mysql revoke db_datareader from ytt2;
Query OK, 0 rows affected (0.01 sec)
— 刪除所有角色
mysql drop role db_owner,db_datareader,db_datawriter;
Query OK, 0 rows affected (0.01 sec)
— 對應的角色也從ytt1上移除掉了
mysql show grants for ytt1;
+———————————-+
| Grants for ytt1@% |
+———————————-+
| GRANT USAGE ON *.* TO `ytt1`@`%` |
+———————————-+
1 row in set (0.00 sec)
至此,我分了 7 個目錄說明了角色在各個方面的使用以及注意事項,希望對大家有幫助。
mysql許可權表有哪些和許可權表有哪些作用
MySQL許可權系統的主要功能是證實連接到一台給定主機的用戶,並且賦予該用戶在資料庫上的相關DML,DQL許可權。
MySQL存取控制包含2個階段:
一是伺服器檢查是否允許你連接
二是假定你能連接,伺服器檢查你發出的每個請求。看你是否有足夠的許可權實施它。
Mysql RBAC許可權控制資料庫設計(簡潔版:4張表)
RBAC 是基於角色的訪問控制( Role-Based Access Control )在 RBAC中,許可權與角色相關聯,用戶通過成為適當角色的成員而得到這些角色的許可權。這就極大地簡化了許可權的管理。這樣管理都是層級相互依賴的,許可權賦予給角色,而把角色又賦予用戶,這樣的許可權設計很清楚,管理起來很方便。
在RBAC中有3個基礎組成標,分別是: 用戶 (登錄賬號)、 角色 和 許可權 (菜單節點),加一個 角色許可權關係表
它們之間的關係如下圖所示:
mysql 許可權設置
背景
在了解動態許可權之前,我們先回顧下 MySQL 的許可權列表。
許可權列表大體分為服務級別和表級別,列級別以及大而廣的角色(也是MySQL 8.0 新增)存儲程序等許可權。我們看到有一個特殊的 SUPER 許可權,可以做好多個操作。比如 SET 變數,在從機重新指定相關主機信息以及清理二進位日誌等。那這裡可以看到,SUPER 有點太過強大,導致了僅僅想實現子許可權變得十分困難,比如用戶只能 SET 變數,其他的都不想要。那麼 MySQL 8.0 之前沒法實現,許可權的細分不夠明確,容易讓非法用戶鑽空子。
那麼 MySQL 8.0 把許可權細分為靜態許可權和動態許可權,下面我畫了兩張詳細的區分圖,圖 1 為靜態許可權,圖 2 為動態許可權。
圖 1- MySQL 靜態許可權的許可權管理圖
圖 2-動態許可權圖
那我們看到其實動態許可權就是對 SUPER 許可權的細分。 SUPER 許可權在未來將會被廢棄掉。
我們來看個簡單的例子,
比如, 用戶 ‘ytt2@localhost’, 有 SUPER 許可權。
mysql show grants for ytt2@’localhost’;+———————————————————————————+| Grants for ytt2@localhost |+———————————————————————————+| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER, SUPER ON *.* TO ytt2@localhost |+———————————————————————————+1 row in set (0.00 sec)
但是現在我只想這個用戶有 SUPER 的子集,設置變數的許可權。那麼單獨給這個用戶賦予兩個能設置系統變數的動態許可權,完了把 SUPER 給拿掉。
mysql grant session_variables_admin,system_variables_admin on *.* to ytt2@’localhost’;Query OK, 0 rows affected (0.03 sec)mysql revoke super on *.* from ytt2@’localhost’;Query OK, 0 rows affected, 1 warning (0.02 sec)
我們看到這個 WARNINGS 提示 SUPER 已經廢棄了。
mysql show warnings;
+———+——+———————————————-+
| Level | Code | Message |
+———+——+———————————————-+
| Warning | 1287 | The SUPER privilege identifier is deprecated |
+———+——+———————————————-+
1 row in set (0.00 sec)`
mysql show grants for ytt2@’localhost’;
+———————————————————————————–+
| Grants for ytt2@localhost |
+———————————————————————————–+
| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER ON *.* TO ytt2@localhost |
| GRANT SESSION_VARIABLES_ADMIN,SYSTEM_VARIABLES_ADMIN ON *.* TO ytt2@localhost |
+———————————————————————————–+
2 rows in set (0.00 sec)
當然圖 2 上還有其它的動態許可權,這裡就不做特別說明了。
mysql有關許可權的表都有哪幾個
一.許可權表
mysql資料庫中的3個許可權表:user 、db、 host
許可權表的存取過程是:
1)先從user表中的host、 user、 password這3個欄位中判斷連接的IP、用戶名、密碼是否存在表中,存在則通過身份驗證;
2)通過許可權驗證,進行許可權分配時,按照useràdbàtables_privàcolumns_priv的順序進行分配。即先檢查全局許可權表user,如果user中對應的許可權為Y,則此用戶對所有資料庫的許可權都為Y,將不再檢查db, tables_priv,columns_priv;如果為N,則到db表中檢查此用戶對應的具體資料庫,並得到db中為Y的許可權;如果db中為N,則檢查tables_priv中此資料庫對應的具體表,取得表中的許可權Y,以此類推。
二.MySQL各種許可權(共27個)
(以下操作都是以root身份登陸進行grant授權,以p1@localhost身份登陸執行各種命令。)
1. usage
連接(登陸)許可權,建立一個用戶,就會自動授予其usage許可權(默認授予)。
mysql grant usage on *.* to 『p1′@』localhost』 identified by 『123′;
該許可權只能用於資料庫登陸,不能執行任何操作;且usage許可權不能被回收,也即REVOKE用戶並不能刪除用戶。
2. select
必須有select的許可權,才可以使用select table
mysql grant select on pyt.* to 『p1′@』localhost』;
mysql select * from shop;
3. create
必須有create的許可權,才可以使用create table
mysql grant create on pyt.* to 『p1′@』localhost』;
4. create routine
必須具有create routine的許可權,才可以使用{create |alter|drop} {procedure|function}
mysql grant create routine on pyt.* to 『p1′@』localhost』;
當授予create routine時,自動授予EXECUTE, ALTER ROUTINE許可權給它的創建者:
mysql show grants for 『p1′@』localhost』;
+—————————————————————————+
Grants for p1@localhost
+————————————————————————–+
| GRANT USAGE ON *.* TO 『p1′@』localhost』 IDENTIFIED BY PASSWORD 『*23AE809DDACAF96AF0FD78ED04B6A265E05AA257′ |
| GRANT SELECT, CREATE, CREATE ROUTINE ON `pyt`.* TO 『p1′@』localhost』|
| GRANT EXECUTE, ALTER ROUTINE ON PROCEDURE `pyt`.`pro_shop1` TO 『p1′@』localhost』 |
+————————————————————————————-+
5. create temporary tables(注意這裡是tables,不是table)
必須有create temporary tables的許可權,才可以使用create temporary tables.
mysql grant create temporary tables on pyt.* to 『p1′@』localhost』;
[mysql@mydev ~]$ mysql -h localhost -u p1 -p pyt
mysql create temporary table tt1(id int);
6. create view
必須有create view的許可權,才可以使用create view
mysql grant create view on pyt.* to 『p1′@』localhost』;
mysql create view v_shop as select price from shop;
7. create user
要使用CREATE USER,必須擁有mysql資料庫的全局CREATE USER許可權,或擁有INSERT許可權。
mysql grant create user on *.* to 『p1′@』localhost』;
或:mysql grant insert on *.* to p1@localhost;
8. insert
必須有insert的許可權,才可以使用insert into ….. values….
9. alter
必須有alter的許可權,才可以使用alter table
alter table shop modify dealer char(15);
10. alter routine
必須具有alter routine的許可權,才可以使用{alter |drop} {procedure|function}
mysqlgrant alter routine on pyt.* to 『p1′@』 localhost 『;
mysql drop procedure pro_shop;
Query OK, 0 rows affected (0.00 sec)
mysql revoke alter routine on pyt.* from 『p1′@』localhost』;
[mysql@mydev ~]$ mysql -h localhost -u p1 -p pyt
mysql drop procedure pro_shop;
ERROR 1370 (42000): alter routine command denied to user 『p1′@』localhost』 for routine 『pyt.pro_shop』
11. update
必須有update的許可權,才可以使用update table
mysql update shop set price=3.5 where article=0001 and dealer=』A’;
12. delete
必須有delete的許可權,才可以使用delete from ….where….(刪除表中的記錄)
13. drop
必須有drop的許可權,才可以使用drop database db_name; drop table tab_name;
drop view vi_name; drop index in_name;
14. show database
通過show database只能看到你擁有的某些許可權的資料庫,除非你擁有全局SHOW DATABASES許可權。
對於p1@localhost用戶來說,沒有對mysql資料庫的許可權,所以以此身份登陸查詢時,無法看到mysql資料庫:
mysql show databases;
+——————–+
| Database |
+——————–+
| information_schema|
| pyt |
| test |
+——————–+
15. show view
必須擁有show view許可權,才能執行show create view。
mysql grant show view on pyt.* to p1@localhost;
mysql show create view v_shop;
16. index
必須擁有index許可權,才能執行[create |drop] index
mysql grant index on pyt.* to p1@localhost;
mysql create index ix_shop on shop(article);
mysql drop index ix_shop on shop;
17. excute
執行存在的Functions,Procedures
mysql call pro_shop1(0001,@a);
+———+
| article |
+———+
| 0001 |
| 0001 |
+———+
mysql select @a;
+——+
| @a |
+——+
| 2 |
+——+
18. lock tables
必須擁有lock tables許可權,才可以使用lock tables
mysql grant lock tables on pyt.* to p1@localhost;
mysql lock tables a1 read;
mysql unlock tables;
19. references
有了REFERENCES許可權,用戶就可以將其它表的一個欄位作為某一個表的外鍵約束。
20. reload
必須擁有reload許可權,才可以執行flush [tables | logs | privileges]
mysql grant reload on pyt.* to p1@localhost;
ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES
mysql grant reload on *.* to 『p1′@』localhost』;
Query OK, 0 rows affected (0.00 sec)
mysql flush tables;
21. replication client
擁有此許可權可以查詢master server、slave server狀態。
mysql show master status;
ERROR 1227 (42000): Access denied; you need the SUPER,REPLICATION CLIENT privilege for this operation
mysql grant Replication client on *.* to p1@localhost;
或:mysql grant super on *.* to p1@localhost;
mysql show master status;
+——————+———-+————–+——————+
| File | Position | Binlog_Do_DB | Binlog_Ignore_DB |
+——————+———-+————–+——————+
| mysql-bin.000006 | 2111 | | |
+——————+———-+————–+——————+
mysql show slave status;
22. replication slave
擁有此許可權可以查看從伺服器,從主伺服器讀取二進位日誌。
mysql show slave hosts;
ERROR 1227 (42000): Access denied; you need the REPLICATION SLAVE privilege for this operation
mysql show binlog events;
ERROR 1227 (42000): Access denied; you need the REPLICATION SLAVE privilege for this operation
mysql grant replication slave on *.* to p1@localhost;
mysql show slave hosts;
Empty set (0.00 sec)
mysqlshow binlog events;
+—————+——-+—————-+———–+————-+————–+
| Log_name | Pos | Event_type | Server_id| End_log_pos|Info | +—————+——-+————–+———–+————-+—————+
| mysql-bin.000005 | 4 | Format_desc | 1 | 98 | Server ver: 5.0.77-log, Binlog ver: 4 | |mysql-bin.000005|98|Query|1|197|use `mysql`; create table a1(i int)engine=myisam|
……………………………………
23. Shutdown
關閉MySQL:
[mysql@mydev ~]$ mysqladmin shutdown
重新連接:
[mysql@mydev ~]$ mysql
ERROR 2002 (HY000): Can』t connect to local MySQL server through socket 『/tmp/mysql.sock』 (2)
[mysql@mydev ~]$ cd /u01/mysql/bin
[mysql@mydev bin]$ ./mysqld_safe
[mysql@mydev bin]$ mysql
24. grant option
擁有grant option,就可以將自己擁有的許可權授予其他用戶(僅限於自己已經擁有的許可權)
mysql grant Grant option on pyt.* to p1@localhost;
mysql grant select on pyt.* to p2@localhost;
25. file
擁有file許可權才可以執行 select ..into outfile和load data infile…操作,但是不要把file, process, super許可權授予管理員以外的賬號,這樣存在嚴重的安全隱患。
mysql grant file on *.* to p1@localhost;
mysql load data infile 『/home/mysql/pet.txt』 into table pet;
26. super
這個許可權允許用戶終止任何查詢;修改全局變數的SET語句;使用CHANGE MASTER,PURGE MASTER LOGS。
mysql grant super on *.* to p1@localhost;
mysql purge master logs before 『mysql-bin.000006′;
27. process
通過這個許可權,用戶可以執行SHOW PROCESSLIST和KILL命令。默認情況下,每個用戶都可以執行SHOW PROCESSLIST命令,但是只能查詢本用戶的進程。
mysql show processlist;
+—-+——+———–+——+———+——+——-+——————+
| Id | User | Host | db | Command | Time | State | Info |
+—-+——+———–+——+———+——+——-+——————+
| 12 | p1 | localhost | pyt | Query | 0 | NULL | show processlist |
+—-+——+———–+——+———+——+——-+——————+
另外,
管理許可權(如 super, process, file等)不能夠指定某個資料庫,on後面必須跟*.*
mysql grant super on pyt.* to p1@localhost;
ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES
mysql grant super on *.* to p1@localhost;
Query OK, 0 rows affected (0.01 sec)
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/258474.html
微信掃一掃 
支付寶掃一掃 