MySQL管理員應該知道如何設置MySQL用戶賬號,指出哪個用戶可以連接服務器,從哪裡連接,連接後能做什麼。MySQL 3.22.11開始引入兩條語句使得這項工作更容易做:GRANT語句創建MySQL用戶並指定其權限,而REVOKE語句刪除權限。兩條語句扮演了MySQL數據庫的前端角色,並提供與直接操作這些表的內容不同的另一種方法。CREATE和REVOKE語句影響4個表:授權表
內容
user 能連接服務器的用戶以及他們擁有的任何全局權限
db 數據庫級權限
tables_priv 表級權限
columns_priv 列級權限
還有第5個授權表(host),但它不受GRANT和REVOKE的影響。
當你對一個用戶發出一條GRANT語句時,在user表中為該用戶創建一條記錄。如果語句指定任何全局權限(管理權限或適用於所有數據庫的權限),這些也記錄在user表中。如果你指定數據庫、表和列級權限,他們被分別記錄在db、tables_priv和columns_priv表中。
用GRANT和REVOKE比直接修改授權表更容易些,然而,建議你閱讀一下《MySQL安全性指南》。這些表異常重要,而且作為一名管理員,你應該理解它們如何超越GRANT和REVOKE語句的功能水平。
在下面的章節中,我們將介紹如何設置MySQL用戶賬號並授權。我們也涉及如何撤權和從授權表中刪除用戶。
你可能也想考慮使用mysqlAccess和mysql_setpermission腳本,它是MySQL分發的一部分,它們是Perl腳本,提供GRANT語句的另一種選擇設置用戶賬號。MySQL_setpermission需要安裝DBI支持。
1 創建用戶並授權
GRANT語句的語法看上去像這樣:
GRANT privileges (columns) ON what TO user IDENTIFIED BY "passWord" WITH GRANT OPTION
要使用該語句,你需要填寫下列部分:
privileges
授予用戶的權限,下表列出可用於GRANT語句的權限指定符:
權限指定符
權限允許的操作
ALTER 修改表和索引
CREATE 創建數據庫和表
DELETE 刪除表中已有的記錄
DROP 拋棄(刪除)數據庫和表
INDEX 創建或拋棄索引
INSERT 向表中插入新行
REFERENCE 未用
SELECT 檢索表中的記錄
UPDATE 修改現存表記錄
FILE 讀或寫服務器上的文件
PROCESS 查看服務器中執行的線程信息或殺死線程
RELOAD 重載授權表或清空日志、主機緩存或表緩存。
SHUTDOWN 關閉服務器
ALL 所有;ALL PRIVILEGES同義詞
USAGE 特殊的“無權限”權限
上表顯示在第一組的權限指定符適用於數據庫、表和列,第二組數管理權限。一般,這些被相對嚴格地授權,因為它們允許用戶影響服務器的操作。第三組權限特殊,ALL意味著“所有權限”,UASGE意味著無權限,即創建用戶,但不授予權限。
columns
權限運用的列,它是可選的,並且你只能設置列特定的權限。如果命令有多於一個列,應該用逗號分開它們。
what
權限運用的級別。權限可以是全局的(適用於所有數據庫和所有表)、特定數據庫(適用於一個數據庫中的所有表)或特定表的。可以通過指定一個columns字句是權限是列特定的。
user
權限授予的用戶,它由一個用戶名和主機名組成。在MySQL中,你不僅指定誰能連接,還有從哪裡連接。這允許你讓兩個同名用戶從不同地方連接。MySQL讓你區分他們,並彼此獨立地賦予權限。
MySQL中的一個用戶名就是你連接服務器時指定的用戶名,該名字不必與你的Unix登錄名或Windows名聯系起來。缺省地,如果你不明確指定一個名字,客戶程序將使用你的登錄名作為MySQL用戶名。這只是一個約定。你可以在授權表中將該名字改為nobody,然後以nobody連接執行需要超級用戶權限的操作。
passWord
賦予用戶的口令,它是可選的。如果你對新用戶沒有指定IDENTIFIED BY子句,該用戶不賦給口令(不安全)。對現有用戶,任何你指定的口令將代替老口令。如果你不指定口令,老口令保持不變,當你用IDENTIFIED BY時,口令字符串用改用口令的字面含義,GRANT將為你編碼口令,不要象你用SET PASSWORD 那樣使用passWord()函數。
WITH GRANT OPTION子句是可選的。如果你包含它,用戶可以授予權限通過GRANT語句授權給其它用戶。你可以用該子句給與其它用戶授權的能力。
用戶名、口令、數據庫和表名在授權表記錄中是大小寫敏感的,主機名和列名不是。
一般地,你可以通過詢問幾個簡單的問題來識別GRANT語句的種類:
誰能連接,從那兒連接?
用戶應該有什麼級別的權限,他們適用於什麼?
用戶應該允許管理權限嗎?
下面就討論一些例子。
1.1 誰能連接,從那兒連接?
你可以允許一個用戶從特定的或一系列主機連接。有一個極端,如果你知道降職從一個主機連接,你可以將權限局限於單個主機:
GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"GRANT ALL ON samp_db.* TO
[email protected] IDENTIFIED BY "quartz"
(samp_db.*意思是“samp_db數據庫的所有表)另一個極端是,你可能有一個經常旅行並需要能從世界各地
