MySQL 账号权限

这篇具有很好参考价值的文章主要介绍了MySQL 账号权限。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

mysql 在安装好后,默认是没有远端管理账号。

一、账号管理

1. 查看账号列表

MySQL用户账号和信息存储在名为 mysql 的数据库中。一般不需要直接访问 mysql 数据库和表,但有时需要直接访问。例如,查看数据库所有用户账号列表时。

USE mysql;
SELECT DISTINCT(`user`) FROM user;
  • 数据库 mysql 有一个名为 user 的表,它包含所有用户账号。 user 表有一个名为 user 的字段,它存储账号名。
  • 进入数据库 mysql,查看 user 表中的 user 列,由于有些账号会分多行记录,DISTINCT 用于去重。
mysql> USE mysql;
Database changed

mysql> SELECT DISTINCT(`user`) FROM user;
+-----------+
| user      |
+-----------+
| root      |
| mysql.sys |
+-----------+
2 rows in set (0.07 sec)
  • user字段 表示账号名,表示当前数据库有 root 和 mysql.sys 两个账号。

2. 创建账号

可以使用 CREATE USER 语句创建一个新用户账号。

CREATE USER account_name IDENTIFIED BY 'password';
  • IDENTIFIED BY 用于设定密码,MySQL 会先将密码进行加密,在将其保存到 user 表。

使用 GRANT 或 INSERT GRANT 语句也可以创建用户账号,但一般来说 CREATE USER 是最清楚和最简单的句子。
使用 CREATE USER 创建用户账号,必须接着分配访问权限。新创建的用户账号没有访问权限。它们能登录MySQL,但不能看到数据,不能执行任何数据库操作。
可以使用 GRANT 语句创建用户账号并授权,该语句会在文章授权部分讲解。用于账号都存储在数据库 mysql 的 user 表中,理论上也可以通过直接插入行到 user 表来增加用户,不过为安全起见,一般不建议这样做。MySQL用来存储用户账号信息的表(以及表模式等)极为重要,对它们的任何毁坏都可能严重地伤害到MySQL服务器。因此,最好不要直接修改数据库 mysql 中表的数据。

  • 为数据库添加账号 zhangsan 密码为 123456
mysql> CREATE USER zhangsan IDENTIFIED BY '123456';
Query OK, 0 rows affected (0.06 sec)

mysql> SELECT DISTINCT(`user`) FROM user;
+-----------+
| user      |
+-----------+
| root      |
| zhangsan  |
| mysql.sys |
+-----------+
3 rows in set (0.07 sec)
  • 使用 zhangsan 的账号和密码登录,成功登录 MySQL。
[vagrant~] ]$mysql -uzhangsan -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
......
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>
注意,不要直接在命令行中输入密码,因为命令行的输入历史都会被记录下来,很同意导致密码泄露。

3. 账号重命名

可以使用 RENAME USER 语句为账号重命名。

RENAME USER old_name TO new_name;
仅 MySQL 5及之后的版本支持  RENAME USER
MySQL 5以前的版本,要重命名一个用户,可使用 UPDATE 直接更新 user 表(谨慎操作)。
  • 将数据库账号 zhangsan 重命名为 lisi
mysql> RENAME USER zhangsan TO lisi;
Query OK, 0 rows affected (0.34 sec)

mysql> SELECT DISTINCT(`user`) FROM user;
+-----------+
| user      |
+-----------+
| lisi      |
| root      |
| mysql.sys |
+-----------+
3 rows in set (0.08 sec)

4. 重置账号密码

可以使用 SET PASSWORD 语句重置账号密码。

SET PASSWORD FOR account_name = Password('password');
使用  SET PASSWORD 重置账号密码。新密码必须通过 Password() 函数进行加密。

当不指定用户名时, SET PASSWORD 会重置当前登录用户的密码。

SET PASSWORD = Password('password');
  • 将账号 lisi 的密码改为 abcdef
mysql> SET PASSWORD FOR lisi = Password('abcdef');
Query OK, 0 rows affected (0.03 sec)
  • 使用 lisi 的账号和新密码登录,成功登录 MySQL。
[vagrant~] ]$mysql -ulisi -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
......
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>
  • 将当前登录账号的密码重置为 10086
mysql> SET PASSWORD = Password('10086');
Query OK, 0 rows affected (0.00 sec)

5. 删除账号

可以使用 DROP USER 语句删除账号(以及相关的权限)。

DROP USER account_name;
MySQL 5及之后的版本, DROP USER 删除用户账号时会自动删除所有相关的账号权限。
在MySQL 5以前,  DROP USER 只能用来删除用户账号,不能删除相关的权限。因此,如果使用旧版本的MySQL,需要先用  REVOKE 删除与账号相关的权限,然后再用  DROP USER 删除账号。
  • 删除账号 lisi
mysql> DROP USER lisi;
Query OK, 0 rows affected (0.00 sec)

mysql> SELECT DISTINCT(`user`) FROM user;
+-----------+
| user      |
+-----------+
| root      |
| mysql.sys |
+-----------+
2 rows in set (0.07 sec)

二、权限管理

访问控制

MySQL服务器的安全基础是:用户应该对他们需要的数据具有适当的访问权,既不能多也不能少。

考虑以下情况:

  • 多数用户只需要对表进行读和写,但少数用户甚至需要能创建和删除表;
  • 某些用户需要读表,但可能不需要更新表;
  • 你可能想允许用户添加数据,但不允许他们删除数据;
  • 某些用户(管理员)可能需要处理用户账号的权限,但多数用户不需要;
  • 你可能想让用户通过存储过程访问数据,但不允许他们直接访问数据;
  • 你可能想根据用户登录的地点限制对某些功能的访问。

这些都只是例子,但有助于说明一个重要的事实,即你需要给用户提供他们所需的访问权,且仅提供他们所需的访问权。这就是所谓的访问控制,管理访问控制需要创建和管理用户账号。

严肃对待 root 账号的使用

MySQL 会默认创建一个名为 root 的用户账号,它对整个 MySQL 服务器具有完全的控制。不过在日常的 MySQL 操作中(特别是生产环境),决不能使用 root 账号登录。应该创建一系列的账号,有的用于管理,有的供用户使用,有的供开发人员使用,等等。应该严肃对待 root 账号的使用,仅在绝对需要时使用它。

访问控制的目的

  • 防止用户的恶意企图。
  • 防止用户无意识错误造成数据错乱。这是更为常见的情况。如错打 SQL 语句,在不合适的数据库中操作或其他一些用户错误。

通过保证用户不能执行他们不应该执行的语句,访问控制有助于避免这些情况的发生。

查看账号权限

SHOW GRANTS[ FOR account_name][@host];
  • 当不使用 FOR 指定用户时,默认是查看自己的账号权限。
  • 当使用 SHOW GRANTS FOR account_name@host 时,可查看指定账号在指定主机下的权限。可以在数据库 mysql 中使用 SELECT user,host FROM user; 查看账号的主机列表。
mysql> USE mysql;
Database changed

mysql> SELECT user,host FROM user;
+-----------+-----------+
| user      | host      |
+-----------+-----------+
| root      | %         |
| mysql.sys | localhost |
| root      | localhost |
+-----------+-----------+
3 rows in set (0.06 sec)

host字段: 表示账号可以在哪些主机或IP地址登录。% 代表任何IP地址都可以登录(生产环境中这样做是非常危险的),localhost 表示只允许本机登录。

将  host 设为  %,就代表任何IP地址都可以访问该数据库,在生产环境中这样做是非常危险的。
也可以使用其他手段来提高数据库安全性:比如设置防火墙、iptable;如果是云平台的数据库还可以通过安全组等方式提高安全性。
  • 查看自己的账号(root)权限。
mysql> SHOW GRANTS;
+-------------------------------------------------------------+
| Grants for root@%                                           |
+-------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' WITH GRANT OPTION |
+-------------------------------------------------------------+
1 row in set (0.00 sec)
  • 查看账号 root 在 localhost 下的权限。
mysql> SHOW GRANTS FOR root@localhost;
+---------------------------------------------------------------------+
| Grants for root@localhost                                           |
+---------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' WITH GRANT OPTION |
+---------------------------------------------------------------------+
1 row in set (0.00 sec)
输出结果显示账号  root 有一个权限  ALL PRIVILEGES ON *.*,表示  root 账号可以操作所有数据库和所有表。
  • 使用 CREATE USER 创建一个账号 zhangsan,并查看 zhangsan 的账号权限。
mysql> CREATE USER zhangsan IDENTIFIED BY '123456';
Query OK, 0 rows affected (0.00 sec)

mysql> SHOW GRANTS FOR zhangsan;
+---------------------------------------------------------------------------------------------------------+
| Grants for zhangsan@%                                                                                   |
+---------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'zhangsan'@'%' IDENTIFIED BY PASSWORD '*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9' |
+---------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)
输出结果显示账号  zhangsan 有一个权限  USAGE ON *.* 。 USAGE 表示根本没有权限,所以,此结果表示  zhangsan 对任意数据库和任意表上对任何东西都没有操作权限。
  • 登录账号 zhangsan,并尝试进入 test 数据库,被拒绝。
[vagrant~] ]$mysql -uzhangsan -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
......
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> use test;
ERROR 1044 (42000): Access denied for user 'zhangsan'@'%' to database 'test'
使用  CREATE USER 创建的用户账号默认没有访问权限。它们能登录MySQL,但不能看到数据,不能执行任何数据库操作。

为已存在的账号设置权限

可以使用 GRANT 语句为账号设置权限。至少给出以下信息:

  • 账号名。
  • 被授予访问权限的数据库或表。
  • 要授予的权限。
GRANT <权限> ON <数据库名>.<表名> TO <账户名>;
  • 给账号 zhangsan 赋予在 test 数据库内的任意表查找和添加数据的权限。
mysql> GRANT SELECT, INSERT ON test.* TO 'zhangsan';
Query OK, 0 rows affected (0.00 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)

mysql> SHOW GRANTS FOR zhangsan;
+---------------------------------------------------------------------------------------------------------+
| Grants for zhangsan@%                                                                                   |
+---------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'zhangsan'@'%' IDENTIFIED BY PASSWORD '*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9' |
| GRANT SELECT, INSERT ON `test`.* TO 'zhangsan'@'%'                                                      |
+---------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)
授权后必须FLUSH PRIVILEGES,否则无法立即生效。
  • 登录账号 zhangsan,可以成功进入到数据库 test,在 user 表中插入一条数据,并从 user 表查找数据。
mysql> USE test;
Database changed

mysql> SHOW TABLES;
+----------------+
| Tables_in_test |
+----------------+
| user           |
+----------------+
1 row in set (0.00 sec)

mysql> INSERT INTO user (username, email) VALUES ('zhangsan', 'zhangsan@gmail.com');
Query OK, 1 row affected, 1 warning (0.00 sec)

mysql> SELECT * FROM user;
+----+----------+--------------------+----------+--------+------------+
| id | username | email              | password | status | created_at |
+----+----------+--------------------+----------+--------+------------+
|  1 | zhangsan | zhangsan@gmail.com | NULL     |      0 |          0 |
+----+----------+--------------------+----------+--------+------------+
1 row in set (0.00 sec)
  • 当 zhangsan 想要使用 UPDATE 和 DELETE 命令修改和删除这条数据时,被提示没有权限。
mysql> UPDATE user SET email='zhangsanfeng@gmail.com' WHERE username='zhangsan';
ERROR 1142 (42000): UPDATE command denied to user 'zhangsan'@'localhost' for table 'user'

mysql> DELETE FROM user WHERE username='zhangsan';
ERROR 1142 (42000): DELETE command denied to user 'zhangsan'@'localhost' for table 'user'

 创建账号并设置权限

GRANT <权限> ON <数据库名>.<表名> TO <账户名>@<主机名/IP> IDENTIFIED BY '<密码>'[ WITH GRANT OPTION];
WITH GRANT OPTION 用于赋予账号使用  GRANT 和  REVOKE 命令的权限,用于给账号授权和取消授权。此权限级别极高,一般只会将此权限授予数据库管理员账号。
  • 创建账号 lisi 密码为 abcdef,在任何IP地址都可以登录,同时赋予 lisi 在 test 数据库内的任意表数据的增删改查权限。
mysql> GRANT SELECT, INSERT, UPDATE, DELETE ON test.* TO 'lisi'@'%' IDENTIFIED BY 'abcdef';
Query OK, 0 rows affected (0.00 sec)
将  host 设为  %,就代表任何IP地址都可以访问该数据库,在生产环境中这样做是非常危险的。
也可以使用其他手段来提高数据库安全性:比如设置防火墙、iptable;如果是云平台的数据库还可以通过安全组等方式提高安全性。
  • 登录账号 lisi,可以成功进入到数据库 test,并对 user 表数据进行增删改查。
[vagrant~] ]$mysql -ulisi -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
......
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> use test;
Database changed

mysql> INSERT INTO user (username, email) VALUES ('lisi', 'lisi@gmail.com');
Query OK, 1 row affected, 1 warning (0.01 sec)

mysql> SELECT * FROM user;
+----+----------+--------------------+----------+--------+------------+
| id | username | email              | password | status | created_at |
+----+----------+--------------------+----------+--------+------------+
|  1 | zhangsan | zhangsan@gmail.com | NULL     |      0 |          0 |
|  2 | lisi     | lisi@gmail.com     | NULL     |      0 |          0 |
+----+----------+--------------------+----------+--------+------------+
2 rows in set (0.00 sec)

mysql> UPDATE user SET email='lisiguang@gmail.com' WHERE username='lisi';
Query OK, 1 row affected (0.01 sec)
Rows matched: 1  Changed: 1  Warnings: 0

mysql> DELETE FROM user WHERE username='zhangsan';
Query OK, 1 row affected (0.00 sec)

mysql> SELECT * FROM user;
+----+----------+---------------------+----------+--------+------------+
| id | username | email               | password | status | created_at |
+----+----------+---------------------+----------+--------+------------+
|  2 | lisi     | lisiguang@gmail.com | NULL     |      0 |          0 |
+----+----------+---------------------+----------+--------+------------+
1 row in set (0.00 sec)

撤销账号指定权限

可以使用 REVOKE 语句撤销账号指定权限。REVOKE 是 GRANT 的反操作。

REVOKE <权限> ON <数据库名>.<表名> FROM <账户名>;
  • 删除账号 lisi 的 DELETE 权限。
mysql> REVOKE DELETE ON test.* FROM lisi;
Query OK, 0 rows affected (0.00 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)

mysql> SHOW GRANTS FOR lisi;
+-----------------------------------------------------------------------------------------------------+
| Grants for lisi@%                                                                                   |
+-----------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'lisi'@'%' IDENTIFIED BY PASSWORD '*C2D24DCA38E9E862098B85BF0AB35CAA52803797' |
| GRANT SELECT, INSERT, UPDATE ON `test`.* TO 'lisi'@'%'                                              |
+-----------------------------------------------------------------------------------------------------+
2 rows in set (0.04 sec)
  • 当 lisi 想要使用 DELETE 命令删除数据时,被提示没有权限。
mysql> DELETE FROM user WHERE username='lisi';
ERROR 1142 (42000): DELETE command denied to user 'lisi'@'localhost' for table 'user'

权限说明

GRANT 和 REVOKE 可在几个层次上控制访问权限:

  • 整个服务器,使用 GRANT ALL 和 REVOKE ALL
  • 整个数据库,使用 ON database.*
  • 特定的表,使用 ON database.table
  • 特定的列;
  • 特定的存储过程。
权 限 说 明
ALL 除 GRANT OPTION 外的所有权限
ALTER 使用 ALTER TABLE
ALTER ROUTINE 使用 ALTER PROCEDURE 和 DROP PROCEDURE
CREATE 使用 CREATE TABLE
CREATE ROUTINE 使用 CREATE PROCEDURE
CREATE TEMPORARY TABLES 使用 CREATE TEMPORARY TABLE
CREATE USER 使用 CREATE USER、DROP USER、RENAME USER 和 REVOKE ALL PRIVILEGES
使用 CREATE VIEW
使用 DELETE
CREATE VIEW 使用 DROP TABLE
DELETE 使用 CALL 和存储过程
DROP 使用 SELECT INTO OUTFILE 和 LOAD DATA INFILE
EXECUTE 使用 GRANT 和 REVOKE
FILE 使用 CREATE INDEX 和 DROP INDEX
GRANT OPTION 使用 INSERT
INDEX 使用 LOCK TABLES
INSERT 使用 SHOW FULL PROCESSLIST
LOCK TABLES 使用 FLUSH
PROCESS 服务器位置的访问
RELOAD 由复制从属使用
REPLICATION CLIENT 使用 SELECT
REPLICATION SLAVE 使用 SHOW DATABASES
SELECT 使用 SHOW CREATE VIEW
SHUTDOWN 使用 mysqladmin shutdown(用来关闭MySQL)
SUPER 使用 CHANGE MASTER、KILL、LOGS、PURGE、MASTER 和 SET GLOBAL。还允许 mysqladmin 调试登录
UPDATE 使用 UPDATE
USAGE 无访问权限

权限控制流程

最后附一张《MySQL性能调优与架构设计》中的权限控制流程图。

以 SELECT id,name FROM test.t4 where status = 'deleted'; 为例。

MySQL 账号权限,mysql,数据库

 文章来源地址https://www.toymoban.com/news/detail-648578.html

到了这里,关于MySQL 账号权限的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Day04 03-MySQL数据库的DCL(用户|权限|视图)

    第十二章 DCL 12.1 DCL的作用 DCL语句主要用来做用户的创建、管理,权限的授予、撤销等操作的。 12.2 管理用户 创建、删除用户的操作,必须要使用root用户才可以完成! 12.3 权限管理 如果在授权远程登录的时候,出现如下问题: Unable to load authentication plugin ‘caching_sha2_password’

    2024年02月07日
    浏览(58)
  • 【Mysql数据库从0到1】-入门基础篇--用户与权限管理

    Mysql 用户分为root用户和普通用户,其中root用户是数据库超级管理员,拥有所有权限(创建、删除、修改密码、授权等管理权限),普通用户只拥有被授予的权限。 Mysql数据库的安全性通过账户管理来保障。 1.1 🍃 Mysql服务器登录 🍀 简单使用 🍀 复杂使用 1.2 🍃 用户创建

    2024年02月07日
    浏览(67)
  • Django-drf项目初始化:跨域、认证权限过滤、static静态资源路由,mysql数据库连接,登录注册功能

    码云地址:https://gitee.com/liuhaizhang/drf-project-initialization 项目目录结构: study_drf            -home         -static         -study_drf         -util         -manage.py pip install django #drf基于django pip install djangorestframework #drf框架 pip install mysqlclient #连接数据库 pip install djangorestframewo

    2024年02月03日
    浏览(63)
  • Camunda8微服务流程引擎搭建实战 -- camunda-identity接入keycloak,使用mysql数据库以OpenID Connect的方式实现用户的权限管理

    准备需要: docker最新版,camunda官方建议使用容器且最好能使用k8s,而且jar包启动失败时不能停止 mysql8.0+,keycloak默认使用postgresql,我不会 提前启动好其他组件,es,tasklis,operate,zeebe,偷个懒,我使用的jar包运行,也可以容器 组件下载地址,版本8.3.4 因为容器通信的问题(应该是通信/网络的

    2024年01月19日
    浏览(53)
  • 【MySQL 】MySQL 创建数据库, MySQL 删除数据库,MySQL 选择数据库

    作者简介: 辭七七,目前大一,正在学习C/C++,Java,Python等 作者主页: 七七的个人主页 文章收录专栏: 七七的闲谈 欢迎大家点赞 👍 收藏 ⭐ 加关注哦!💖💖 我们可以在登陆 MySQL 服务后,使用 create 命令创建数据库,语法如下: 以下命令简单的演示了创建数据库的过程,

    2024年02月13日
    浏览(87)
  • 【MySQL数据库】初识MySQL数据库、安装MySQL

    在今天的数字化世界中,数据是企业和个人的重要资产。管理和存储数据变得至关重要,而 MySQL 数据库是一种备受欢迎的开源关系型数据库管理系统,它提供了稳定、可靠、高性能的数据存储解决方案。本文将介绍 MySQL 数据库的基本概念和安装过程,以便初学者能够轻松上

    2024年02月08日
    浏览(62)
  • MySQL 账号权限

    mysql 在安装好后,默认是没有远端管理账号。 一、账号管理 1. 查看账号列表 MySQL用户账号和信息存储在名为  mysql  的数据库中。一般不需要直接访问  mysql  数据库和表,但有时需要直接访问。例如,查看数据库所有用户账号列表时。 数据库  mysql  有一个名为  user  的表

    2024年02月13日
    浏览(38)
  • 【MySQL数据库】MySQL数据库管理

    Structure Query Language(结构化查询语言)简称SQL,它被美国国家标准局(ANSI)确定为关系型数据库语言的美国标准,后被国际化标准组织(ISO)采纳为关系数据库语言的国际标准。数据库管理系统可以通过SQL管理数据库;定义和操作数据,维护数据的完整性和安全性。 数据:(data)

    2024年02月08日
    浏览(49)
  • 初识MySQL数据库——“MySQL数据库”

    各位CSDN的uu们你们好呀,小雅兰好久没有更文啦,确实是心有余而力不足,最近学习的内容太难了,这篇博客又是小雅兰的新专栏啦,主要介绍的是一些MySQL数据库的知识点,下面,让我们进入初识MySQL数据库的世界吧 为什么要使用数据库 数据库与数据库管理系统 MySQL介绍

    2024年02月06日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包