面试中被问到了有关权限的问题,当时问得一脸懵逼,回来才发现,很久以前用过,只是忘了而已,现查阅了两篇文章,算是写的比较全面了,总结回顾一下。

一、MySQL权限介绍##

权限,顾名思义是对使用者的使用范围根据级别进行限制,MySQL中用user、db、tables_priv、columns_priv四个表实现对权限的控制。具体的验证过程如下:

确认基本信息:先从user表中判断是否存在登陆者的Host(IP)、User、Password,存在则通过验证;

权限分配:按照user、db、tables_priv、columns_priv进行顺序验证。如果通过当前级别则不进行下一级别验证。例如:当通过user权限验证,则不进行后面三项的验证。

二、赋权操作##

1.在CMD中启动mysql:

net start mysql56;

2.用root登陆mysql:

mysql -u root -p pwd;

3.没有用户的情况下首先创建用户:

create user xxx IDENTIFIED by 'pwd';(pwd会被以散列值形式存储)

修改用户信息可参考下列实例:

修改用户名:rename user olduser to newuser;

删除用户:drop user username;(在mysql5之前删除用户前必须先删除其权限,但5之后就不需要了,自动删除。)

修改密码:set password for username =password('newpwd');

或者:updata mysql.user set password =password('newpwd') where user ='username';

4.查看用户权限

show grants for username;

5.赋予权限

grant select on db.* to username;

6.回收权限

revoke select on db.* from username;(权限不存在会报错)

可以一次性赋予多个权限,只需在权限之间加‘,’即可,回收亦然。

7.权限立即生效

flush privileges;

总结一下,在赋权得时候,必须给出的信息有:

1.要授予的权限;

2.被授予访问权限的数据库或表;

3.用户名。

8.grant和revoke可以在几个层次上控制访问权限

1.整个服务器:grant all /revoke all

2.整个数据库:on database.*

3.特定的表:on database.table

4.特定的列:grant select(id, se, rank) on testdb.apache_log to dba@localhost;

5.特定的存储过程:grant execute on procedure testdb.pr_add to ’dba’@’localhost’

6.特定的函数:grant execute on function testdb.fn_add to ’dba’@’localhost’

9.user表中host列值的意义

1.%:匹配所有的主机

2.localhost:localhost不会被解析成IP,会直接跟UNIXsocket链接

3.127.0.0.1:会通过TCP/IP链接,并且只能本机访问。

4.::1:::1就是兼容支持ipv6的,表示同ipv4的127.0.0.1

更多权限明细:如下表:

mysql alter table的权限 mysql权限问题_mysql

mysql数据库层面

mysql alter table的权限 mysql权限问题_mysql_02

表层面

三、MySQL安全配置方案##

1 限制访问mysql端口的ip

windows可以通过windows防火墙或者ipsec来限制,linux下可以通过iptables来限制。

2 修改mysql的端口

windows下可以修改配置文件my.ini来实现,linux可以修改配置文件my.cnf来实现。

3 对所有用户设置强密码并严格指定对应账号的访问ip

mysql中可在user表中指定用户的访问可访问ip

4 root特权账号的处理

建议给root账号设置强密码,并指定只容许本地登录

5 日志的处理

如需要可开启查询日志,查询日志会记录登录和查询语句。

6 mysql进程运行账号

在windows下禁止使用local system来运行mysql账户,可以考虑使用network service或者自己新建一个账号,但是必须给与mysql程序所在目录的读取权限和data目录的读取和写入权限; 在linux下,新建一个mysql账号,并在安装的时候就指定mysql以mysql账户来运行,给与程序所在目录的读取权限,data所在目录的读取和写入权限。

7 mysql运行账号的磁盘权限

1)mysql运行账号需要给予程序所在目录的读取权限,以及data目录的读取和写入权限

2)不容许给予其他目录的写入和执行权限,特别是有网站的。

3)取消mysql运行账户对于cmd,sh等一些程序的执行权限。

8 网站使用的mysql账户的处理

新建一个账户,给予账户在所使用数据库的所有权限即可。这样既能保证网站对所对应的数据库的全部操作,也能保证账户不会因为权限过高而影响安全。给予单个数据库的所有权限的账户不会拥有super, process, file等管理权限的。 当然,如果能很明确是的知道,我的网站需要哪些权限,还是不要多给权限,因为很多时候发布者并不知道网站需要哪些权限,我才建议上面的配置。而且我指的通用的,具体到只有几台机器,不多的情况下,我个人建议还是给予只需要的权限,具体可参考上面的表格的建议。

9 删除无用数据库

test数据库对新建的账户默认有权限

原文链接:1.mysql 用户管理和权限设置

2.详细解读MySQL中的权限