关于mysql:MySQL权限管理实战

3次阅读

共计 1892 个字符，预计需要花费 5 分钟才能阅读完成。

前言：

不分明各位同学对数据库用户权限治理是否理解，作为一名 DBA，用户权限治理是绕不开的一项工作内容。特地是生产库，数据库用户权限更应该标准治理。本篇文章将会介绍下 MySQL 用户权限治理相干内容。

当咱们创立过数据库用户后，还不能执行任何操作，须要为该用户调配适当的拜访权限。

对于 MySQL 用户权限简略的了解就是数据库只容许用户做你权力以内的事件，不能够越界。比方只容许你执行 select 操作，那么你就不能执行 update 操作。只容许你从某个 IP 上连贯 MySQL，那么你就不能从除那个 IP 以外的其余机器连贯 MySQL。

在 MySQL 中，用户权限也是分级别的，能够授予的权限有如下几组：

列级别，和表中的一个具体列相干。例如，能够应用 UPDATE 语句更新表 students 中 student_name 列的值的权限。
表级别，和一个具体表中的所有数据相干。例如，能够应用 SELECT 语句查问表 students 的所有数据的权限。
数据库级别，和一个具体的数据库中的所有表相干。例如，能够在已有的数据库 mytest 中创立新表的权限。
全局，和 MySQL 中所有的数据库相干。例如，能够删除已有的数据库或者创立一个新的数据库的权限。

权限信息存储在 mysql 零碎库的 user、db、tables_priv、columns_priv、procs_priv 这几个零碎表中。

user 表：寄存用户账户信息以及全局级别（所有数据库）权限。
db 表：寄存数据库级别的权限，决定了来自哪些主机的哪些用户能够拜访此数据库。
tables_priv 表：寄存表级别的权限，决定了来自哪些主机的哪些用户能够拜访数据库的这个表。
columns_priv 表：寄存列级别的权限，决定了来自哪些主机的哪些用户能够拜访数据库表的这个字段。
procs_priv 表：寄存存储过程和函数级别的权限。

参考官网文档，可授予的权限如下表所示：

看起来各种可授予的权限有很多，其实能够大抵分为数据、构造、治理三类，大略可分类如下：

咱们个别用 grant 语句为数据库用户赋权，倡议大家先用 create user 语句创立好用户之后再独自进行受权。上面通过示例来具体看下：

# 创立用户
create user 'test_user'@'%' identified by 'xxxxxxxx';

# 全局权限
GRANT super,select on *.* to 'test_user'@'%';

# 库权限
GRANT select,insert,update,delete,create,alter,execute on `testdb`.* to 'test_user'@'%';

# 表权限
GRANT select,insert on `testdb`.tb to 'test_user'@'%';

# 列权限
GRANT select (col1), insert (col1, col2) ON `testdb`.mytbl to 'test_user'@'%';

# GRANT 命令阐明：super,select 示意具体要授予的权限。ON 用来指定权限针对哪些库和表。*.* 中后面的 * 号用来指定数据库名，前面的 * 号用来指定表名。TO 示意将权限赋予某个用户。'test_user'@'%' 示意 test_user 用户，@前面接限度的主机，能够是 IP、IP 段、域名以及 %，% 示意任何中央。# 刷新权限
flush privileges;

# 查看某个用户的权限
show grants for 'test_user'@'%';

# 回收权限
revoke delete on `testdb`.* from 'test_user'@'%';

权限治理是一件不容忽视的事，咱们不能为了不便而给数据库用户很大的权限。特地是对于生产库，更应该进行权限管控，倡议程序用户只赋予增删改查等根底权限，个人用户只赋予查问权限。

出于平安思考，倡议遵循以下几个教训准则：