MySQL伺服器許可權表

来源:http://www.cnblogs.com/aspnetjia/archive/2016/02/19/5200020.html
-Advertisement-
Play Games

MySQL伺服器通過許可權表來控制用戶對資料庫的訪問,許可權表存放在mysql資料庫里,由mysql_install_db腳本初始化。這些許可權表分別user,db,table_priv,columns_priv和host。下麵分別介紹一下這些表的結構和內容: user許可權表:記錄允許連接到伺服器的用戶帳


MySQL伺服器通過許可權表來控制用戶對資料庫的訪問,許可權表存放在mysql資料庫里,由mysql_install_db腳本初始化。這些許可權表分別user,db,table_priv,columns_priv和host。下麵分別介紹一下這些表的結構和內容:

  • user許可權表:記錄允許連接到伺服器的用戶帳號信息,裡面的許可權是全局級的。

  • db許可權表:記錄各個帳號在各個資料庫上的操作許可權。

  • table_priv許可權表:記錄數據表級的操作許可權。

  • columns_priv許可權表:記錄數據列級的操作許可權。

  • host許可權表:配合db許可權表對給定主機上資料庫級操作許可權作更細緻的控制。這個許可權表不受GRANT和REVOKE語句的影響。

大家註意到,以上許可權沒有限制到數據行級的設置。在MySQL只要實現數據行級控制就要通過編寫程式(使用GET-LOCK()函數)來實現。

MySQL的版本很多,所以許可權表的結構在不同版本間會有不同。如果出現這種情況,可用mysql_fix_privilege_tables腳本來修正。運行方式如下:

% mysql_fix_privilege_tables rootpassword            #這裡要給出MySQL的root用戶密碼

最好一下子升級到MySQL 4.0.4版本,因為4.0.2和4.0.3的db表沒有Create_tmp_table_priv和Lock_tables_priv許可權。

 

MySQL的許可權表定義了兩部份內容,一個部份定義許可權的範圍,即誰(帳戶)可以從哪裡(客戶端主機)訪問什麼(資料庫、數據表、數據列);另一部份定義許可權,即控制用戶可以進行的操作。下麵是一些常用的許可權介紹,可直接在GRANT語句中使用。

  • CREATE TEMPORARY TABLES,允許創建臨時表的許可權。

  • EXECUTE,允許執行存儲過程的許可權,存儲過程在MySQL的當前版本中還沒實現。

  • FILE,允許你通過MySQL伺服器去讀寫伺服器主機上的文件。但有一定限制,只能訪問對任何用戶可讀的文件,通過伺服器寫的文件必須是尚未存在的,以防止伺服器寫的文件覆蓋重要的系統文件。儘管有這些限制,但為了安全,儘量不要把該許可權授予普通用戶。並且不要以root用戶來運行MySQL伺服器,因為root用戶可在系統任何地方創建文件。

  • GRANT OPTION,允許把你自已所擁有的許可權再轉授給其他用戶。

  • LOCK TABLES,可以使用LOCK TABLES語句來鎖定數據表

  • PROCESS,允許你查看和終止任何客戶線程。SHOW PROCESSLIST語句或mysqladmin processlist命令可查看線程,KILL語句或mysqladmin kill命令可終止線程。在4.0.2版及以後的版本中,PROCESS許可權只剩下查看線程的能力,終止線程的能力由SUPER許可權控制。

  • RELOAD,允許你進行一些資料庫管理操作,如FLUSH,RESET等。它還允許你執行mysqladmin命令:reload,refresh,flush-hosts,flush-logs,flush-privileges,flush-status,flush-tables和flush-threads。

  • REPLICATION CLIENT,允許查詢鏡像機制中主伺服器和從伺服器的位置。

  • REPLICATION SLAVE,允許某個客戶連接到鏡像機制中的主伺服器並請求發送二進位變更日誌。該許可權應授予從伺服器用來連接主伺服器的帳號。在4.0.2版這前,從伺服器是用FILE許可權來連接的。

  • SHOW DATABASES,控制用戶執行SHOW DATABASES語句的許可權。

  • SUPER,允許終止線程,使用mysqladmin debug命令,使用CHANGE MASTER,PURGE MASTER LOGS以及修改全局級變數的SET語句。SUPER還允許你根據存放在DES密鑰文件里的密鑰進行DES解密的工作。

user許可權表中有一個ssl_type數據列,用來說明連接是否使用加密連接以及使用哪種類型的連接,它是一個ENUM類型的數據列,可能的取值有:

  • NONE,預設值,表示不需加密連接。

  • ANY,表示需要加密連接,可以是任何一種加密連接。由GRANT的REQUIRE SSL子句設置。

  • X509,表示需要加密連接,並要求客戶提供一份有效的X509證書。由GRANT的REQUIRE X509子句設置。

  • SPECIFIED,表示加密連接需滿足一定要求,由REQUIRE子句的ISSUER,SUBJECT或CIPHER的值進行設置。只要ssl_type列的值為SPECIFIED,則MySQL會去檢查ssl_cipher(加密演算法)、x509_issuer(證書簽發者)和x509_subject(證書主題)列的值。這幾列的列類型是BLOB類型的。

user許可權表裡還有幾列是設置帳戶資源使用情況的,如果以下數據列中的數全為零,則表示沒有限制:

  • max_connections,每小時可連接伺服器的次數。

  • max_questions,每小時可發出查詢命令數。

  • max_updates,每小時可以發出的數據修改類查詢命令數。

設置許可權表應註意的事項:

  • 刪除所有匿名用戶。

  • 查出所有沒有口令用戶,重新設置口令。可用以下命令查詢空口令用戶:

    mysql> SELECT host,user FROM user WHERE password = '''';

  • 儘量不要在host中使用通配符。

  • 最好不要用user許可權表進行授權,因為該表的許可權都是全局級的。

  • 不要把mysql資料庫的許可權授予他人,因為該資料庫包含許可權表。

  • 使用GRANT OPTION許可權時不要濫用。

  • FILE許可權可訪問文件系統中的文件,所以授權時也要註意。一個具有FILE許可權的用戶執行以下語句就可查看伺服器上全體可讀的文件:

    mysql> CREATE TABLE etc_passwd(pwd_entry TEXT);
mysql> LOAD DATA INFILE ''/etc/passwd'' INTO TABLE etc_passwd;
mysql> SELECT * FROM etc_passwd;

    如果MySQL伺服器數據目錄上的訪問許可權設置得不好,就會留下讓具有FILE許可權的用戶進入別人資料庫的安全漏洞。所以建議把數據目錄設置成只能由MySQL伺服器讀取。下麵演示一個利用具有FILE許可權的用戶讀取數據目錄中文件許可權設置不嚴密的資料庫數據的過程:

    mysql> use test;
mysql> create table temp(b longblob);
mysql> show databases                   #顯示資料庫名清單,--skip-show-database可禁止該功能
mysql> load data infile ''./db/xxx.frm'' into table temp fields escaped by '''' lines terminated by '''';
mysql> select * from temp into outfile ''xxx.frm'' fields escaped by '''' lines terminated by '''';
mysql> delete from temp;
mysql> load data infile ''./db/xxx.MYD'' into table temp fields escaped by '''' lines terminated by '''';
mysql> select * from temp into outfile ''xxx.MYD'' fields escaped by '''' lines terminated by '''';
mysql> delete from temp;
mysql> load data infile ''./db/xxx.MYI'' into table temp fields escaped by '''' lines terminated by '''';
mysql> select * from temp into outfile ''xxx.MYI'' fields escaped by '''' lines terminated by '''';
mysql> delete from temp;

    這樣,你的資料庫就給人拷貝到本地了。如果伺服器是運行在root用戶下,那危害就更大了,因為root可在伺服器上做任何的操作。所以儘量不要用root用戶來運行伺服器。

  • 只把PROCESS許可權授予可信用戶,該用戶可查詢其他用戶的線程信息。

  • 不要把RELOAD許可權授予無關用戶,因為該許可權可發出FLUSH或RESET語句,這些是資料庫管理工具,如果用戶不當使用會使資料庫管理出現問題。

  • ALTER許可權也不要授予一般用戶,因為該許可權可更改數據表。

GRANT語句對許可權表的修改過程:

  • 當你發送一條GRANT語句時,伺服器會在user許可權表裡創建一個記錄項並把你用戶名、主機名和口令記錄在User、Host和Password列中。如果設置了全局許可權,由把該設置記錄在相在的許可權列中。

  • 如果在GRANT里設置了資料庫級許可權,你給出的用戶名和主機名就會記錄到db許可權表的User和Host列中,資料庫名記錄在Db列中,許可權記錄到相關的許可權列中。

  • 接著是到數據表和數據列級的許可權設置,設置方法和上面的一樣。伺服器會把用戶名、主機名、資料庫名以及相應的數據表名和數據列名記錄到數據表中。

刪除用戶許可權其實就是把這些許可權表中相應的帳號記錄全部刪除即可

轉載自:aspnetjia(http://www.aspnetjia.com)


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • apache中偽靜態配置和使用
    一 打開 Apache 的配置文件 httpd.conf 。二 將#LoadModule rewrite_module modules/mod_rewrite前面的#去掉三 在 httpd.conf中添加:<IfModule mod_rewrite.c>RewriteEngine On#Rewrit
  • ios程式中的通知機制
    每一個應用程式中都有一個NSNotificationCenter實例,用來協助不同的對象之間的通信,任何一個對象都可以向通知中心發佈通知(NSNotication),在通知中描述自己做什麼。其他的感興趣的對象可以申請在某個特定的通知或者特定對象發出通知時接收到這個通知。 一個通知一般包含有3個屬性:
  • 【Android開發】完美解決Android完全退出程式
    背景:假說有兩個Activity, Activity1和Activity2, 1跳轉到2,如果要在2退出程式,一般網上比較常見的說法是用 System.exit(0) 或是 android.os.Process.killProcess(android.os.Process.myPid()) 但實際應
  • 如何設置mysql同步(replication)
    MySQL 提供了資料庫的同步功能,這對我們實現資料庫的冗災、備份、恢復、負載均衡等都是有極大幫助的。本文描述了常見的同步設置方法。 一、準備伺服器 由於MySQL不同版本之間的(二進位日誌)binlog格式可能會不一樣,因此最好的搭配組合是Master的MySQL版本和Slave的版本相同或者更低
  • Oracle 查詢記錄是否存在的效率問題
    最近要優化Oracle資料庫的效率,然後在網上查了很多判斷記錄是否存在的高效率方法網上有很多的建議第一種方法,我做了一個測試,但是可能數據量不夠大,42667條記錄,不知道很大的數據量是什麼一個情況網上好多高效的建議方式 select * from item where item='1B241371
  • 清除SQL 資料庫日誌
    隨著生產數據的日誌越來越大,硬碟空間越來越小的時候,我們就需要考慮清理一下資料庫日誌,以前都是手工弄,現在找到一個語句直接自動處理,方便很多,分享一下。 DUMP TRANSACTION CMSDemo WITH NO_LOG BACKUP LOG CMSDemo WITH NO_LOG DBCC
  • SQL Server代理(9/12):理解作業和安全
    SQL Server代理是所有實時資料庫的核心。代理有很多不明顯的用法,因此系統的知識,對於開發人員還是DBA都是有用的。這系列文章會通俗介紹它的很多用法。 在這個系列的前一篇文章里,你學習瞭如何在SQL Server代理作業步驟里啟動外部程式。你可以使用過時的ActiveX系統,從虛擬命令提示符里
  • MySQL 變數和條件
    概述 變數在存儲過程中會經常被使用,變數的使用方法是一個重要的知識點,特別是在定義條件這塊比較重要。 mysql版本:5.6 變數定義和賦值 #創建資料庫 DROP DATABASE IF EXISTS Dpro; CREATE DATABASE Dpro CHARACTER SET utf8 ;
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP
    移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • wpf ToggleButton選中效果和一個登錄界面
    前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 彈幕樹洞項目功能新增篇
    項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 第27篇 sqlserver2022詳細安裝步驟
    話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • .NET 開源高性能 MQTT 類庫
    前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog文檔翻譯系列(六) - 可用的接收器、增強器、格式化輸出
    Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 警惕 Visual Studio 屬性求值副作用導致邏輯不符合預期
    目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • [使用目前最新版]HybridCLR6.9.0+YooAsset2.2.4實現純C# Unity熱更新方案 (一)
    1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 在 ASP.NET Core Web API 中使用操作篩選器統一處理通用操作
    本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 第28篇 如何.net中實現高效可靠數據同步api
    通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...
所有分類