MySQL伺服器許可權表

来源:http://www.cnblogs.com/aspnetjia/archive/2016/02/19/5200020.html
-Advertisement-
Play Games

MySQL伺服器通過許可權表來控制用戶對資料庫的訪問,許可權表存放在mysql資料庫里,由mysql_install_db腳本初始化。這些許可權表分別user,db,table_priv,columns_priv和host。下麵分別介紹一下這些表的結構和內容: user許可權表:記錄允許連接到伺服器的用戶帳


MySQL伺服器通過許可權表來控制用戶對資料庫的訪問,許可權表存放在mysql資料庫里,由mysql_install_db腳本初始化。這些許可權表分別user,db,table_priv,columns_priv和host。下麵分別介紹一下這些表的結構和內容:

  • user許可權表:記錄允許連接到伺服器的用戶帳號信息,裡面的許可權是全局級的。

  • db許可權表:記錄各個帳號在各個資料庫上的操作許可權。

  • table_priv許可權表:記錄數據表級的操作許可權。

  • columns_priv許可權表:記錄數據列級的操作許可權。

  • host許可權表:配合db許可權表對給定主機上資料庫級操作許可權作更細緻的控制。這個許可權表不受GRANT和REVOKE語句的影響。

大家註意到,以上許可權沒有限制到數據行級的設置。在MySQL只要實現數據行級控制就要通過編寫程式(使用GET-LOCK()函數)來實現。

MySQL的版本很多,所以許可權表的結構在不同版本間會有不同。如果出現這種情況,可用mysql_fix_privilege_tables腳本來修正。運行方式如下:

% mysql_fix_privilege_tables rootpassword            #這裡要給出MySQL的root用戶密碼

最好一下子升級到MySQL 4.0.4版本,因為4.0.2和4.0.3的db表沒有Create_tmp_table_priv和Lock_tables_priv許可權。

 

MySQL的許可權表定義了兩部份內容,一個部份定義許可權的範圍,即誰(帳戶)可以從哪裡(客戶端主機)訪問什麼(資料庫、數據表、數據列);另一部份定義許可權,即控制用戶可以進行的操作。下麵是一些常用的許可權介紹,可直接在GRANT語句中使用。

  • CREATE TEMPORARY TABLES,允許創建臨時表的許可權。

  • EXECUTE,允許執行存儲過程的許可權,存儲過程在MySQL的當前版本中還沒實現。

  • FILE,允許你通過MySQL伺服器去讀寫伺服器主機上的文件。但有一定限制,只能訪問對任何用戶可讀的文件,通過伺服器寫的文件必須是尚未存在的,以防止伺服器寫的文件覆蓋重要的系統文件。儘管有這些限制,但為了安全,儘量不要把該許可權授予普通用戶。並且不要以root用戶來運行MySQL伺服器,因為root用戶可在系統任何地方創建文件。

  • GRANT OPTION,允許把你自已所擁有的許可權再轉授給其他用戶。

  • LOCK TABLES,可以使用LOCK TABLES語句來鎖定數據表

  • PROCESS,允許你查看和終止任何客戶線程。SHOW PROCESSLIST語句或mysqladmin processlist命令可查看線程,KILL語句或mysqladmin kill命令可終止線程。在4.0.2版及以後的版本中,PROCESS許可權只剩下查看線程的能力,終止線程的能力由SUPER許可權控制。

  • RELOAD,允許你進行一些資料庫管理操作,如FLUSH,RESET等。它還允許你執行mysqladmin命令:reload,refresh,flush-hosts,flush-logs,flush-privileges,flush-status,flush-tables和flush-threads。

  • REPLICATION CLIENT,允許查詢鏡像機制中主伺服器和從伺服器的位置。

  • REPLICATION SLAVE,允許某個客戶連接到鏡像機制中的主伺服器並請求發送二進位變更日誌。該許可權應授予從伺服器用來連接主伺服器的帳號。在4.0.2版這前,從伺服器是用FILE許可權來連接的。

  • SHOW DATABASES,控制用戶執行SHOW DATABASES語句的許可權。

  • SUPER,允許終止線程,使用mysqladmin debug命令,使用CHANGE MASTER,PURGE MASTER LOGS以及修改全局級變數的SET語句。SUPER還允許你根據存放在DES密鑰文件里的密鑰進行DES解密的工作。

user許可權表中有一個ssl_type數據列,用來說明連接是否使用加密連接以及使用哪種類型的連接,它是一個ENUM類型的數據列,可能的取值有:

  • NONE,預設值,表示不需加密連接。

  • ANY,表示需要加密連接,可以是任何一種加密連接。由GRANT的REQUIRE SSL子句設置。

  • X509,表示需要加密連接,並要求客戶提供一份有效的X509證書。由GRANT的REQUIRE X509子句設置。

  • SPECIFIED,表示加密連接需滿足一定要求,由REQUIRE子句的ISSUER,SUBJECT或CIPHER的值進行設置。只要ssl_type列的值為SPECIFIED,則MySQL會去檢查ssl_cipher(加密演算法)、x509_issuer(證書簽發者)和x509_subject(證書主題)列的值。這幾列的列類型是BLOB類型的。

user許可權表裡還有幾列是設置帳戶資源使用情況的,如果以下數據列中的數全為零,則表示沒有限制:

  • max_connections,每小時可連接伺服器的次數。

  • max_questions,每小時可發出查詢命令數。

  • max_updates,每小時可以發出的數據修改類查詢命令數。

設置許可權表應註意的事項:

  • 刪除所有匿名用戶。

  • 查出所有沒有口令用戶,重新設置口令。可用以下命令查詢空口令用戶:

    mysql> SELECT host,user FROM user WHERE password = '''';

  • 儘量不要在host中使用通配符。

  • 最好不要用user許可權表進行授權,因為該表的許可權都是全局級的。

  • 不要把mysql資料庫的許可權授予他人,因為該資料庫包含許可權表。

  • 使用GRANT OPTION許可權時不要濫用。

  • FILE許可權可訪問文件系統中的文件,所以授權時也要註意。一個具有FILE許可權的用戶執行以下語句就可查看伺服器上全體可讀的文件:

    mysql> CREATE TABLE etc_passwd(pwd_entry TEXT);
mysql> LOAD DATA INFILE ''/etc/passwd'' INTO TABLE etc_passwd;
mysql> SELECT * FROM etc_passwd;

    如果MySQL伺服器數據目錄上的訪問許可權設置得不好,就會留下讓具有FILE許可權的用戶進入別人資料庫的安全漏洞。所以建議把數據目錄設置成只能由MySQL伺服器讀取。下麵演示一個利用具有FILE許可權的用戶讀取數據目錄中文件許可權設置不嚴密的資料庫數據的過程:

    mysql> use test;
mysql> create table temp(b longblob);
mysql> show databases                   #顯示資料庫名清單,--skip-show-database可禁止該功能
mysql> load data infile ''./db/xxx.frm'' into table temp fields escaped by '''' lines terminated by '''';
mysql> select * from temp into outfile ''xxx.frm'' fields escaped by '''' lines terminated by '''';
mysql> delete from temp;
mysql> load data infile ''./db/xxx.MYD'' into table temp fields escaped by '''' lines terminated by '''';
mysql> select * from temp into outfile ''xxx.MYD'' fields escaped by '''' lines terminated by '''';
mysql> delete from temp;
mysql> load data infile ''./db/xxx.MYI'' into table temp fields escaped by '''' lines terminated by '''';
mysql> select * from temp into outfile ''xxx.MYI'' fields escaped by '''' lines terminated by '''';
mysql> delete from temp;

    這樣,你的資料庫就給人拷貝到本地了。如果伺服器是運行在root用戶下,那危害就更大了,因為root可在伺服器上做任何的操作。所以儘量不要用root用戶來運行伺服器。

  • 只把PROCESS許可權授予可信用戶,該用戶可查詢其他用戶的線程信息。

  • 不要把RELOAD許可權授予無關用戶,因為該許可權可發出FLUSH或RESET語句,這些是資料庫管理工具,如果用戶不當使用會使資料庫管理出現問題。

  • ALTER許可權也不要授予一般用戶,因為該許可權可更改數據表。

GRANT語句對許可權表的修改過程:

  • 當你發送一條GRANT語句時,伺服器會在user許可權表裡創建一個記錄項並把你用戶名、主機名和口令記錄在User、Host和Password列中。如果設置了全局許可權,由把該設置記錄在相在的許可權列中。

  • 如果在GRANT里設置了資料庫級許可權,你給出的用戶名和主機名就會記錄到db許可權表的User和Host列中,資料庫名記錄在Db列中,許可權記錄到相關的許可權列中。

  • 接著是到數據表和數據列級的許可權設置,設置方法和上面的一樣。伺服器會把用戶名、主機名、資料庫名以及相應的數據表名和數據列名記錄到數據表中。

刪除用戶許可權其實就是把這些許可權表中相應的帳號記錄全部刪除即可

轉載自:aspnetjia(http://www.aspnetjia.com)


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • apache中偽靜態配置和使用
    一 打開 Apache 的配置文件 httpd.conf 。二 將#LoadModule rewrite_module modules/mod_rewrite前面的#去掉三 在 httpd.conf中添加:<IfModule mod_rewrite.c>RewriteEngine On#Rewrit
  • ios程式中的通知機制
    每一個應用程式中都有一個NSNotificationCenter實例,用來協助不同的對象之間的通信,任何一個對象都可以向通知中心發佈通知(NSNotication),在通知中描述自己做什麼。其他的感興趣的對象可以申請在某個特定的通知或者特定對象發出通知時接收到這個通知。 一個通知一般包含有3個屬性:
  • 【Android開發】完美解決Android完全退出程式
    背景:假說有兩個Activity, Activity1和Activity2, 1跳轉到2,如果要在2退出程式,一般網上比較常見的說法是用 System.exit(0) 或是 android.os.Process.killProcess(android.os.Process.myPid()) 但實際應
  • 如何設置mysql同步(replication)
    MySQL 提供了資料庫的同步功能,這對我們實現資料庫的冗災、備份、恢復、負載均衡等都是有極大幫助的。本文描述了常見的同步設置方法。 一、準備伺服器 由於MySQL不同版本之間的(二進位日誌)binlog格式可能會不一樣,因此最好的搭配組合是Master的MySQL版本和Slave的版本相同或者更低
  • Oracle 查詢記錄是否存在的效率問題
    最近要優化Oracle資料庫的效率,然後在網上查了很多判斷記錄是否存在的高效率方法網上有很多的建議第一種方法,我做了一個測試,但是可能數據量不夠大,42667條記錄,不知道很大的數據量是什麼一個情況網上好多高效的建議方式 select * from item where item='1B241371
  • 清除SQL 資料庫日誌
    隨著生產數據的日誌越來越大,硬碟空間越來越小的時候,我們就需要考慮清理一下資料庫日誌,以前都是手工弄,現在找到一個語句直接自動處理,方便很多,分享一下。 DUMP TRANSACTION CMSDemo WITH NO_LOG BACKUP LOG CMSDemo WITH NO_LOG DBCC
  • SQL Server代理(9/12):理解作業和安全
    SQL Server代理是所有實時資料庫的核心。代理有很多不明顯的用法,因此系統的知識,對於開發人員還是DBA都是有用的。這系列文章會通俗介紹它的很多用法。 在這個系列的前一篇文章里,你學習瞭如何在SQL Server代理作業步驟里啟動外部程式。你可以使用過時的ActiveX系統,從虛擬命令提示符里
  • MySQL 變數和條件
    概述 變數在存儲過程中會經常被使用,變數的使用方法是一個重要的知識點,特別是在定義條件這塊比較重要。 mysql版本:5.6 變數定義和賦值 #創建資料庫 DROP DATABASE IF EXISTS Dpro; CREATE DATABASE Dpro CHARACTER SET utf8 ;
一周排行
    -Advertisement-
    Play Games
  • WPF 已知問題 監聽 WMI 事件導致觸摸失效
    示例項目結構 在 Visual Studio 中創建一個 WinForms 應用程式後,項目結構如下所示: MyWinFormsApp/ │ ├───Properties/ │ └───Settings.settings │ ├───bin/ │ ├───Debug/ │ └───Release/ ...
  • [STAThread]特性
    [STAThread] 特性用於需要與 COM 組件交互的應用程式,尤其是依賴單線程模型(如 Windows Forms 應用程式)的組件。在 STA 模式下,線程擁有自己的消息迴圈,這對於處理用戶界面和某些 COM 組件是必要的。 [STAThread] static void Main(stri ...
  • UWP WinUI3 傳入 AddHandler 的 RoutedEventHandler 類型與事件所需不匹配將拋出參數異常
    在WinForm中使用全局異常捕獲處理 在WinForm應用程式中,全局異常捕獲是確保程式穩定性的關鍵。通過在Program類的Main方法中設置全局異常處理,可以有效地捕獲並處理未預見的異常,從而避免程式崩潰。 註冊全局異常事件 [STAThread] static void Main() { / ...
  • .NET 多版本 WinForm 開源控制項庫 SunnyUI
    前言 給大家推薦一款開源的 Winform 控制項庫,可以幫助我們開發更加美觀、漂亮的 WinForm 界面。 項目介紹 SunnyUI.NET 是一個基於 .NET Framework 4.0+、.NET 6、.NET 7 和 .NET 8 的 WinForm 開源控制項庫,同時也提供了工具類庫、擴展 ...
  • .net core8 使用Swagger(附當前源碼)
    說明 該文章是屬於OverallAuth2.0系列文章,每周更新一篇該系列文章(從0到1完成系統開發)。 該系統文章,我會儘量說的非常詳細,做到不管新手、老手都能看懂。 說明:OverallAuth2.0 是一個簡單、易懂、功能強大的許可權+可視化流程管理系統。 有興趣的朋友,請關註我吧(*^▽^*) ...
  • WPF 什麼時候 VisualTreeHelper.GetDescendantBounds 將返回無窮大
    一、下載安裝 1.下載git 必須先下載並安裝git,再TortoiseGit下載安裝 git安裝參考教程:https://blog.csdn.net/mukes/article/details/115693833 2.TortoiseGit下載與安裝 TortoiseGit,Git客戶端,32/6 ...
  • C# 開源教程帶你輕鬆掌握數據結構與演算法
    前言 在項目開發過程中,理解數據結構和演算法如同掌握蓋房子的秘訣。演算法不僅能幫助我們編寫高效、優質的代碼,還能解決項目中遇到的各種難題。 給大家推薦一個支持C#的開源免費、新手友好的數據結構與演算法入門教程:Hello演算法。 項目介紹 《Hello Algo》是一本開源免費、新手友好的數據結構與演算法入門 ...
  • 第22篇 生成proto文件bat腳本
    1.生成單個Proto.bat內容 @rem Copyright 2016, Google Inc. @rem All rights reserved. @rem @rem Redistribution and use in source and binary forms, with or with ...
  • 記一次 .NET某上位機視覺程式 卡死分析
    一:背景 1. 講故事 前段時間有位朋友找到我,說他的窗體程式在客戶這邊出現了卡死,讓我幫忙看下怎麼回事?dump也生成了,既然有dump了那就上 windbg 分析吧。 二:WinDbg 分析 1. 為什麼會卡死 窗體程式的卡死,入口門檻很低,後續往下分析就不一定了,不管怎麼說先用 !clrsta ...
  • 醫學DICOM文件與PACS系統進行數據傳輸
    前言 人工智慧時代,人臉識別技術已成為安全驗證、身份識別和用戶交互的關鍵工具。 給大家推薦一款.NET 開源提供了強大的人臉識別 API,工具不僅易於集成,還具備高效處理能力。 本文將介紹一款如何利用這些API,為我們的項目添加智能識別的亮點。 項目介紹 GitHub 上擁有 1.2k 星標的 C# ...
所有分類