mysql中用户权限的操作大部分都可以通过修改mysql.user表中的信息来达成,此外还有特定的sql语句可以实现相同的功能。若要实现精细的操作,还可以查看db, host,tables_priv, columns_priv和procs_priv等等表格。
但是需要注意的是:通过操作mysql.user实现的功能在日志,和命令历史中会留下记录,导致不安全因素。 因此最好是直接通过专用命令来实现。
实际上, mysql中的访问控制一般分为以下几个审查阶段:

  1. user权限表,匹配user, host等字段,看看请求的全局权限是否被允许,如顺利匹配,则操作被执行,否则继续向下查找
  2. db权限表,匹配user, host等字段,看看请求的数据库级别的权限是否被允许,如顺利匹配,则操作被执行,否则继续向下查找
  3. tables_priv权限表, 匹配user, host等字段,看看请求的数据表级别的权限是否被允许,如顺利匹配,则操作被执行,否则继续向下查找
  4. columns_priv权限表, 匹配user, host等字段,看看请求的列级别的权限是否被允许,如顺利匹配,则操作被执行,否则返回错误信息

用户权限可以参照以上流程按照实际的需要来进行设置。

1 增加用户

    a 使用创建用户命令
        creat user 'test'@'localhost' identified by 'passwd';
    b 使用GRANT语句
        grant select, update on *.* to 'test'@'localhost' identified by 'passwd';
    c 通过INSERT在mysql.user表中直接插入新用户信息
        insert into user (host, user, password) values('localhost', 'user', PASSWORD('passwd'));

2 添加用户权限

用户的权限在mysql服务启动时已经读入,所以若要使权限生效,需要在操作后添加flush privileges语句。

    a 使用GRANT语句赋权,在这里要注意mysql中通配符的使用('%'代表所有用户或者主机, *代表所有schema和table等等)
       all privileges代表除grant之外的所有权限,如果要添加grant权限,则需要另外用with grant option语句
        管理权限(super, file, process等等)不能指定数据库和表,必须使用*.*
        如:grant all privileges on *.* to 'test'@'localhost' identified by 'passwd' with grant option;
        注意:这里的all privileges可以用all代替,grant表示的是给用户增加的权限,用户已有的权限则仍然保留。
   
    b 通过UPDATE在mysql.user表中更改privilege的信息(这样修改的是该用户在选中的数据库中的权限),'Y'为有次权限, 'N'为无此权限
        一般的权限字段为: 操作名+'_priv'后缀,操作名的单词间用下划线隔开
        如:grant权限为: grant_priv
        具体权限的种类和作用可以用 show privileges来查看
        修改权限的字段可以用 desc mysql.user来查看
        例:update user set update_priv='Y' where user='test' and host='localhost';

3 查看用户权限

    a 使用show grants查看用户赋权的sql语句
        show grants for test@localhost;
    b 使用select 查询mysql.user表
        select host, user, update_priv from user;

4 修改已有用户的密码

    a 使用set password语句
        set password for 'test'@'localhost'=password('passwd');
        若更改自身的密码则可以写成:
        set password=password('passwd');
    b 更新mysql.user中的password字段
        update user set password=password('passwd') where user='test' and host='localhost';
    c 使用grant语句
        grant usage on *.* to 'test'@'localhost' identified by 'passwd';
    d 也可以在mysql环境外使用语句:
        mysqladmin -u test -p password "passwd"
    e 若密码丢失,也可以先用--skip-grant-tables启动mysql服务,再用abc来进行修改。

5 删除用户

    a 使用drop user直接删除
        drop user test@localhost;
    b 使用delete from从mysql.user表中删除
        delete from user where user='test' and host='localhost';

6 撤销用户的权限

    a 使用revoke语句
        revoke select on *.* from 'test'@'localhost';
    b 使用update修改mysql.user中的_priv信息
       update user set select_priv='N' where user='test' and host='localhost'; 
posted on 2016-02-22 13:15  迷阳  阅读(920)  评论(0编辑  收藏  举报