Mysql用戶密碼設置修改和權限分配 我的mysql安裝在c:\mysql 一、更改密碼 第一種方式: 1、更改之前root沒有密碼的情況 c:\mysql\bin>mysqladmin -u root password "your password" 2、更改之前root有密碼的情況,假如為123456 c:\mysql\bin>mysqladmin -u root -p123456 password "your password" 注意:更改的密碼不能用單引號,可用雙引號或不用引號 第二種方式: 1、c:\mysql\bin>mysql -uroot -p密碼 以root身份登錄 2、mysql>use mysql 選擇數據庫 3、mysql>update user set password=password('你的密碼') where User='root'; 4、mysqlflush privileges; 重新加載權限表 二、用戶權限設置 1、以root(也可用其它有權限的用戶)身份登錄 2、下面創建一個test用戶,密碼為test,並且只能對picture數據庫進行操作的命令 mysql>GRANT ALL ON picture.* TO test IDENTIFIED BY "test"; GRANT語句的語法看上去像這樣: GRANT privileges (columns) ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION 要使用該語句,你需要填寫下列部分: privileges 授予用戶的權限,下表列出可用於GRANT語句的權限指定符: 權限指定符 權限允許的操作 Alter 修改表和索引 Create 創建數據庫和表 Delete 刪除表中已有的記錄 Drop 拋棄(刪除)數據庫和表 INDEX 創建或拋棄索引 Insert 向表中插入新行 REFERENCE 未用 Select 檢索表中的記錄 Update 修改現存表記錄 FILE 讀或寫服務器上的文件 PROCESS 查看服務器中執行的線程信息或殺死線程 RELOAD 重載授權表或清空日志、主機緩存或表緩存。 SHUTDOWN 關閉服務器 ALL 所有;ALL PRIVILEGES同義詞 USAGE 特殊的“無權限”權限 上表顯示在第一組的權限指定符適用於數據庫、表和列,第二組數管理權限。一般,這些被相對嚴格地授權,因為它們允許用戶影響服務器的操作。第三組權限特殊,ALL意味著“所有權限”,UASGE意味著無權限,即創建用戶,但不授予權限。 columns 權限運用的列,它是可選的,並且你只能設置列特定的權限。如果命令有多於一個列,應該用逗號分開它們。 what 權限運用的級別。權限可以是全局的(適用於所有數據庫和所有表)、特定數據庫(適用於一個數據庫中的所有表)或特定表的。可以通過指定一個columns字句是權限是列特定的。 user 權限授予的用戶,它由一個用戶名和主機名組成。在MySQL中,你不僅指定誰能連接,還有從哪裡連接。這允許你讓兩個同名用戶從不同地方連接。 MySQL讓你區分他們,並彼此獨立地賦予權限。MySQL中的一個用戶名就是你連接服務器時指定的用戶名,該名字不必與你的Unix登錄名或 Windows名聯系起來。缺省地,如果你不明確指定一個名字,客戶程序將使用你的登錄名作為MySQL用戶名。這只是一個約定。你可以在授權表中將該名 字改為nobody,然後以nobody連接執行需要超級用戶權限的操作。 password 賦予用戶的口令,它是可選的。如果你對新用戶沒有指定IDENTIFIED BY子句,該用戶不賦給口令(不安全)。對現有用戶,任何你指定的口令將代替老口令。如果你不指定口令,老口令保持不變,當你用IDENTIFIED BY時,口令字符串用改用口令的字面含義,GRANT將為你編碼口令,不要你用SET PASSWORD 那樣使用password()函數。 WITH GRANT OPTION子句是可選的。如果你包含它,用戶可以授予權限通過GRANT語句授權給其它用戶。你可以用該子句給與其它用戶授權的能力。 注意:用戶名、口令、數據庫和表名在授權表記錄中是大小寫敏感的,主機名和列名不是。 一般地,你可以通過詢問幾個簡單的問題來識別GRANT語句的種類: 誰能連接,從那兒連接? 用戶應該有什麼級別的權限,他們適用於什麼? 用戶應該允許管理權限嗎? 下面就討論一些例子。 1.1 誰能連接,從那兒連接? 你可以允許一個用戶從特定的或一系列主機連接。有一個極端,如果你知道降職從一個主機連接,你可以將權限局限於單個主機: GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby" GRANT ALL ON samp_db.* TO [email protected] IDENTIFIED BY "quartz" (samp_db.*意思是“samp_db數據庫的所有表)另一個極端是,你可能有一個經常旅行並需要能從世界各地的主機連接的用戶max。在這種情況下,你可以允許他無論從哪裡連接: GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond" “%”字符起通配符作用,與LIKE模式匹配的含義相同。在上述語句中,它意味著“任何主機”。所以max和max@%等價。這是建立用戶最簡單的方法,但也是最不安全的。 其中,你可以允許一個用戶從一個受限的主機集合訪問。例如,要允許mary從snake.net域的任何主機連接,用一個%.snake.net主機指定符: GRANT ALL ON samp_db.* TO [email protected] IDENTIFIED BY "quartz"; 如果你喜歡,用戶標識符的主機部分可以用IP地址而不是一個主機名來給定。你可以指定一個IP地址或一個包含模式字符的地址,而且,從MySQL 3.23,你還可以指定具有指出用於網絡號的位數的網絡掩碼的IP號: GRANT ALL ON samp_db.* TO [email protected] IDENTIFIED BY "ruby" GRANT ALL ON samp_db.* TO [email protected].% IDENTIFIED BY "quartz" GRANT ALL ON samp_db.* TO [email protected]/17 IDENTIFIED BY "ruby" 第一個例子指出用戶能從其連接的特定主機,第二個指定對於C類子網192.168.128的IP模式,而第三條語句中,192.168.128.0/17指定一個17位網絡號並匹配具有192.168.128頭17位的IP地址。 1.2 用戶應該有什麼級別的權限和它們應該適用於什麼? 你可以授權不同級別的權限,全局權限是最強大的,因為它們適用於任何數據庫。要使ethel成為可做任何事情的超級用戶,包括能授權給其它用戶,發出下列語句: GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION ON子句中的*.*意味著“所有數據庫、所有表”。從安全考慮,我們指定ethel只能從本地連接。限制一個超級用戶可以連接的主機通常是明智的,因為它限制了試圖破解口令的主機。 有些權限(FILE、PROCESS、RELOAD和SHUTDOWN)是管理權限並且只能用"ON *.*"全局權限指定符授權。如果你願意,你可以授權這些權限,而不授權數據庫權限。例如,下列語句設置一個flush用戶,他只能發出flush語句。 這可能在你需要執行諸如清空日志等的管理腳本中會有用: GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass" 一般地,你想授權管理權限,吝啬點,因為擁有它們的用戶可以影響你的服務器的操作。 數據庫級權限適用於一個特定數據庫中的所有表,它們可通過使用ON db_name.*子句授予: GRANT ALL ON samp_db TO [email protected] INDETIFIED BY "rock" GRANT Select ON samp_db TO ro_user@% INDETIFIED BY "rock" 第一條語句向bill授權samp_db數據庫中所有表的權限,第二條創建一個嚴格限制訪問的用戶ro_user(只讀用戶),只能訪問samp_db數據庫中的所有表,但只有讀取,即用戶只能發出Select語句。 你可以列出一系列同時授予的各個權限。例如,如果你想讓用戶能讀取並能修改現有數據庫的內容,但不能創建新表或刪除表,如下授予這些權限: GRANT Select,Insert,Delete,Update ON samp_db TO [email protected] INDETIFIED BY "rock" 對於更精致的訪問控制,你可以在各個表上授權,或甚至在表的每個列上。當你想向用戶隱藏一個表的部分時,或你想讓一個用戶只能修改特定的列時,列特定權限非常有用。如: GRANT Select ON samp_db.member TO bill@localhost INDETIFIED BY "rock" GRANT Update (expiration) ON samp_db. member TO bill@localhost 第一條語句授予對整個member表的讀權限並設置了一個口令,第二條語句增加了Update權限,當只對expiration列。沒必要再指定口令,因為第一條語句已經指定了。 如果你想對多個列授予權限,指定一個用逗號分開的列表。例如,對assistant用戶增加member表的地址字段的Update權限,使用如下語句,新權限將加到用戶已有的權限中: GRANT Update (street,city,state,zip) ON samp_db TO assistant@localhost 1.3 用戶應該被允許管理權限嗎? 你可以允許一個數據庫的擁有者通過授予數據庫上的所有擁有者權限來控制數據庫的訪問,在授權時,指定WITH GRANT OPTION。例如:如果你想讓alicia能從big.corp.com域的任何主機連接並具有sales數據庫中所有表的管理員權限,你可以用如下 GRANT語句: GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION 在效果上WITH GRANT OPTION子句允許你把訪問授權的權利授予另一個用戶。要注意,擁有GRANT權限的兩個用戶可以彼此授權。如果你只給予了第一個用戶Select權 限,而另一個用戶有GRANT加上Select權限,那麼第二個用戶可以是第一個用戶更“強大”。 2 撤權並刪除用戶 要取消一個用戶的權限,使用REVOKE語句。REVOKE的語法非常類似於GRANT語句,除了TO用FROM取代並且沒有INDETIFED BY和WITH GRANT OPTION子句: REVOKE privileges (columns) ON what FROM user user部分必須匹配原來GRANT語句的你想撤權的用戶的user部分。privileges部分不需匹配,你可以用GRANT語句授權,然後用REVOKE語句只撤銷部分權限。 REVOKE語句只刪除權限,而不刪除用戶。即使你撤銷了所有權限,在user表中的用戶記錄依然保留,這意味著用戶仍然可以連接服務器。要完全刪除一個用戶,你必須用一條Delete語句明確從user表中刪除用戶記錄: %mysql -u root mysqlmysql>Delete FROM user ->Where User="user_name" and Host="host_name";mysql>FLUSH PRIVILEGES; Delete語句刪除用戶記錄,而FLUSH語句告訴服務器重載授權表。(當你使用GRANT和REVOKE語句時,表自動重載,而你直接修改授權表時不是。)
