MySQL 賦予用戶權限命令的簡單格式可概括為:
grant 權限 on 數據庫對象 to 用戶
用戶后面可以加@'ip地址' identified by '密碼'
例如:
grant all on *.* to root@'%'IDENTIFIED by '123456'
grant all on *.* to ted@'123.123.123.123'IDENTIFIED by '123456'
上面的語句表示將 所有 數據庫的所有權限授權給 ted 這個用戶,允許 ted 用戶在 123.123.123.123 這個 IP 進行遠程登陸,並設置 ted 用戶的密碼為 123456 。 下面逐一分析所有的參數: all PRIVILEGES 表示賦予所有的權限給指定用戶,這里也可以替換為賦予某一具體的權限,例如:select,insert,update,delete,create,drop 等,具體權限間用“,”半角逗號分隔。 discuz.* 表示上面的權限是針對於哪個表的,discuz 指的是數據庫,后面的 * 表示對於所有的表,由此可以推理出:對於全部數據庫的全部 表授權為“*.*”,對於某一數據庫的全部表授權為“數據庫名.*”,對於某一數據庫的某一表授權為“數據庫名.表名”。 ted 表示你要給哪個用戶授權,這個用戶可以是存在的用戶,也可以是不存在的用戶。 123.123.123.123 表示允許遠程連接的 IP 地址,如果想不限制鏈接的 IP 則設置為“%”即可。 123456 為用戶的密碼。 執行了上面的語句后,再執行下面的語句,方可立即生效。 > flush privileges;
一、grant 普通數據用戶,查詢、插入、更新、刪除 數據庫中所有表數據的權利
grant select on testdb.* to common_user@'%' grant insert on testdb.* to common_user@'%' grant update on testdb.* to common_user@'%' grant delete on testdb.* to common_user@'%'
或者,用一條 MySQL 命令來替代:
grant select, insert, update, delete on testdb.* to common_user@'%'
二、grant 數據庫開發人員,創建表、索引、視圖、存儲過程、函數等權限
grant 創建、修改、刪除 MySQL 數據表結構權限。
grant create on testdb.* to developer@'192.168.0.%'; grant alter on testdb.* to developer@'192.168.0.%'; grant drop on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 外鍵權限:
grant references on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 臨時表權限:
grant create temporary tables on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 索引權限:
grant index on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 視圖、查看視圖源代碼權限:
grant create view on testdb.* to developer@'192.168.0.%'; grant show view on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 存儲過程、函數權限:
grant create routine on testdb.* to developer@'192.168.0.%'; -- now, can show procedure status grant alter routine on testdb.* to developer@'192.168.0.%'; -- now, you can drop a procedure grant execute on testdb.* to developer@'192.168.0.%';
三、grant 普通 DBA 管理某個 MySQL 數據庫的權限
grant all privileges on testdb to dba@'localhost'
其中,關鍵字 “privileges” 可以省略。
四、grant 高級 DBA 管理 MySQL 中所有數據庫的權限:
grant all on *.* to dba@'localhost'
五、MySQL grant 權限,分別可以作用在多個層次上
1. grant 作用在整個 MySQL 服務器上:
grant select on *.* to dba@localhost; -- dba 可以查詢 MySQL 中所有數據庫中的表。 grant all on *.* to dba@localhost; -- dba 可以管理 MySQL 中的所有數據庫
2. grant 作用在單個數據庫上:
grant select on testdb.* to dba@localhost; -- dba 可以查詢 testdb 中的表。
3. grant 作用在單個數據表上:
grant select, insert, update, delete on testdb.orders to dba@localhost;
這里在給一個用戶授權多張表時,可以多次執行以上語句。例如:
grant select(user_id,username) on smp.users to mo_user@'%' identified by '123345'; grant select on smp.mo_sms to mo_user@'%' identified by '123345';
4. grant 作用在表中的列上:
grant select(id, se, rank) on testdb.apache_log to dba@localhost;
5. grant 作用在存儲過程、函數上:
grant execute on procedure testdb.pr_add to 'dba'@'localhost' grant execute on function testdb.fn_add to 'dba'@'localhost'
六、查看 MySQL 用戶權限
查看當前用戶(自己)權限:
show grants;
查看其他 MySQL 用戶權限:
show grants for dba@localhost;
七、撤銷已經賦予給 MySQL 用戶權限的權限。
revoke 跟 grant 的語法差不多,只需要把關鍵字 “to” 換成 “from” 即可:
grant all on *.* to dba@localhost; revoke all on *.* from dba@localhost;
八、MySQL grant、revoke 用戶權限注意事項
1. grant, revoke 用戶權限后,該用戶只有重新連接 MySQL 數據庫,權限才能生效。
2. 如果想讓授權的用戶,也可以將這些權限 grant 給其他用戶,需要選項 “grant option“
grant select on testdb.* to dba@localhost with grant option; grant select on testdb.* to dba@localhost with grant option;
這個特性一般用不到。實際中,數據庫權限最好由 DBA 來統一管理。
補充:
mysql授權表共有5個表:user、db、host、tables_priv和columns_priv。
授權表的內容有如下用途:
user表
user表列出可以連接服務器的用戶及其口令,並且它指定他們有哪種全局(超級用戶)權限。在user表啟用的任何權限均是全局權限,並適用於所有數據庫。例如,如果你啟用了DELETE權限,在這里列出的用戶可以從任何表中刪除記錄,所以在你這樣做之前要認真考慮。
db表
db表列出數據庫,而用戶有權限訪問它們。在這里指定的權限適用於一個數據庫中的所有表。
host表
host表與db表結合使用在一個較好層次上控制特定主機對數據庫的訪問權限,這可能比單獨使用db好些。這個表不受GRANT和REVOKE語句的影響,所以,你可能發覺你根本不是用它。
tables_priv表
tables_priv表指定表級權限,在這里指定的一個權限適用於一個表的所有列。
columns_priv表
columns_priv表指定列級權限。這里指定的權限適用於一個表的特定列
總結:(理解原理)
使用grant授權實質是在mysql數據庫的user表中增加一列,收回權限實質是從表中刪除一列。所以授權也可以替換為刪除表數據來代替,授權收權實質是操作mysql的user表。
查看mysql.user表的結構:(windows與linux不同的是password列名改為authentication_string)
未授權前查看總數:
授權給root,允許登錄的ip是%,密碼是123456,授權之后變為9列。
用root,123456登錄查看
收回剛才用戶的權限:(收權之后只是收回權限,還可以登錄。)
刪除mysql的user表中的數據,將沒權限訪問:(徹底的收權方法:)
delete from mysql.user where user='root' and host='%'; flush privileges;