2022年MYSQL数据库的用户帐号管理基础知识 （1）Mysql教程.docx

2022年MYSQL数据库的用户帐号管理基础知识 （1）Mysql教程MySQL管理员应当知道怎样通过指定哪些用户可连接到服务器、从哪里进行连接，以及在连接时做什么，来设置MySQL用户账号。MySQL3.22.11引入了两个更简单进行这项工作的语句：GRANT 语句创建MySQL用户并指定其权限，REVOKE 语句删除权限。这两个语句充当mysql数据库中的授权表的前端，并供应干脆操纵这些表内容的可选择的方法。GRANT 和REVOKE 语句影响以下四个表：授权表 内容user 可连接到服务器的用户和他们拥有的任何全局特权db 数据库级的特权tables _ priv 表级特权c o l um n s _ priv 列级特权还有第五个授权表（ host），但它不受GRANT 或REVOKE的影响。当您为某个用户发布GRANT 语句时，应在user表中为该用户创建一个项。假如该语句指定了全部全局特权（管理权限或用于全部数据库的权限），则这些指定也被记录在user表中。假如指定了数据库、表或列的权限，它们将记录在db、tables_priv 和columns_priv表中。运用GRANT 和REVOKE语句比干脆修改授权表更简单。但是，建议您最好通过阅读第12章来补充本章的内容，第12章中具体探讨了授权表。这些表特别重要，作为一位管理员应当了解这些表是怎样在GRANT 和REVOKE 语句级上工作的。本节下面的部分将探讨如何设置MySQL用户的账号和授权，还将介绍如何取消权限以及从授权表中删除全部用户，并且将考虑一个困扰很多新的MySQL管理员的难题。 您还要考虑运用mysqlaccess 和mysql_setpermission 脚本，它们是MySQL分发包的组成部分。这些是Perl 的脚本，它们供应了设置用户账号的GRANT 语句的代用品。mysql_setpermission 须要具有DBI 的支持环境。创建新用户和授权GRANT 语句的语法如下：GRANT privileges (columns)ON whatTO user IDENTIFIEDBY "password"WITH GRANT OPTION要运用该语句，须要填写以下部分：privileges 安排给用户的权限。下表列出了可在GRANT 语句中运用的权限说明符：权限说明符权限允许的操作上表显示的第一组权限说明符适用于数据库、表和列。其次组说明符是管理特权。通常，这些权限的授予相当保守，因为它们会影响服务器的操作（例如， SHUTDOWN 特权不是按每天来分发的权限）。第三组说明符是特别的。ALL的意思是“全部的权限”，而USAGE 的意思是“无权限”即创建用户，但不授予任何的权限。columns 权限适用的列。这是可选的，只来设置列专有的权限。假如命名多于一个列，则用逗号分开。what 权限应用的级别。权限可以是全局的（适用于全部数据库和全部的表）、数据库专有的（适用于某个数据库中的全部表），或表专有的。可以通过指定一个C O L U M N S子句将权限授予特定的列。user 运用权限的用户。它由用户名和主机名组成。在MySQL中，不仅指定谁进行连接，还要指定从哪里连接。它允许您拥有两个带有相同名字的、从不同位置连接的用户。MySQL允许在它们之间进行区分并相互独立地安排权限。MySQL的用户名就是您在连接到服务器时指定的名字。该名字与您的UNIX 注册名或Windows 名的没有必定连系。缺省设置时，客户机程序将运用您注册的名字作为MySQL的用户名（假如您不明确指定一个名字的话），但这只是一个约定。有关将root作为可以操作一切MySQL的超级用户名也是这样，就是一种约定。您也可以在授权表中将此名修改成nobody，然后作为nobody 用户进行连接，以执行须要超级用户特权的操作。password 安排给该用户的口令。这是可选的。假如您不给新用户指定IDENTIFIEDBY子句，该用户不安排口令（是非平安的）。对于已有的用户，任何指定的口令将替代旧口令。假如不指定新口令，用户的旧口令仍旧保持不变。当您的确要运用ID E N T I F I E DBY 时，该口令串应当是干脆量，GRANT 将对口令进行编码。当用SET PA S S W O R D语句时，不要运用PASSWORD() 函数。WITH GRANT OPTION 子句是可选的。假如包含该子句，该用户可以将GRANT 语句授予的任何权限授予其他的用户。可以运用该子句将授权的实力授予其他的用户。123下一页 用户名、口令以及数据库和表的名称在授权表项中是区分大小写的，而主机名和列名则不是。通过查询某些问题，通常可以推断出所需的GRANT 语句的类型：谁可以进行连接，从哪里连接？用户应具有什么级别的权限，这些权限适用于什么？允许用户管理权限吗？让我们来提问这些问题，同时看一些利用GRANT 语句设置MySQL用户账号的例子。1. 谁可以进行连接，从哪里连接您可以允许用户在特定的主机或涉及范围很宽的一组主机中进行连接。在一个极端，假如知道用户将仅从那个主机中进行连接，则可限定对单个主机的访问：GRANT ALL ON samp_db.* TO borislocalhost IDENTFIEDBY "ruby"GRANT ALL ON samp_db.* TO fred IDENTFIEDBY "quartz"（符号samp_db.* 含义是“在samp_db 数据库中的全部表”）在另一个极端，您可能会有一个用户m a x，他周游世界并须要能够从世界各地的主机中进行连接。在这种状况下，无论他从哪里连接您都将允许：GRANT ALL ON samp_db.* TO max% IDENTFIEDBY "diamond"%字符起通配符的作用，与LIKE模式匹配的含义相同，在上个语句中，它的意思是“任何主机”。假如您根本不给出主机名部分，则它与指定“ %”的含义相同。因此， max和max%是等价的。这是设置一个用户最简单的方法，但平安性最小。要想实行妥协的方法，可允许用户在一组有限的主机中进行连接。例如，要使mary 从 域的任何主机中进行连接，可运用% 主机说明符：GRANT ALL ON samp_db.* TO mary% IDENTFIEDBY "topaz"该用户标识符的主机部分可用IP 地址而不是主机名给出（假如情愿的话）。可以指定一个干脆的IP 地址或包含模式字符的地址。同样，自MySQL3.23 起，可以用一个网络掩码来指定IP 号，网络掩码表明白用于该网络号的二进制位数：GRANT ALL ON samp_db.* TO joe192.168.0.3 IDENTIFIEDBY "water"GRANT ALL ON samp_db.* TO ardis192.168.128.% IDENTIFIEDBY "snow"GRANT ALL ON samp_db.* TO rex192.168.128.0/17 IDENTIFIEDBY "ice"第一条语句指明用户可进行连接的特定的主机。其次条语句指定129.168.128 Class C 子网的IP 模式。在第三条语句中， 192.168.128.0/17 指定一个17 位二进制的网络号，并将任何主机与其IP 地址的前17 个二进制位中的192.168.128.0/17 进行匹配。假如MySQL埋怨您指定的用户值，则可能须要运用引号（但对用户名和主机名分别加引号）：GRANT ALL ON samp_db.president TO "my friend"""2. 用户应具有什么级别的权限，这些权限适用于什么您可授予不同级别的权限。全局权限的功能最强，因为它们适用于任何数据库。为了使ethel 成为可以进行一切操作的超级用户（其中包括可以对其他用户授权），发布下列语句：GRANT ALL ON *.* TO ethellocalhost IDENTIFIEDBY "coffee"WITH GRANT OPTIONON 子句中*.* 说明符的意思是“全部数据库，全部的表”，为保险起见，我们已经指定ethel 只能从本地主机中连接。限制超级用户从哪些主机上进行连接通常是明智的做法，因为它限制住了其他用户对口令进行摸索。有些权限（ F I L E、P R O C E S S、RELOAD 和S H U T D O W N）是管理权限，只能用NO *.* 全局权限说明符来授予。假如希望的话，也可以不用授予数据库级的权限来授予这些权限。例如，下列语句建立了一个flush 用户，它除了发布FLUSH语句外不做其他任何事情。在管理脚本中这可能是有用的，因为须要在这些脚本中执行诸如在日志文件循环期间刷新日志的操作：GRANT RELOAD ON *.* TO flushlocalhost IDENTIFIEDBY "flushpass"通常授予管理权限应当是保守的，因为具有这些权限的用户可能影响服务器的操作。数据库级的权限适用于特定数据库中的全部表。这些权限运用ON db_name.* 子句进行授予：GRANT ALL ON samp_db.* TO bill IDENTIFIEDBY "rock"GRANT SELECT ON menagerie.* TO ro_user% IDENTIFIEDBY "dirt"第一条语句将bill 的全部权限授予samp_db 数据库的任何表。其次条语句创建一个限制访问的用户r o _ user（只读用户），它可以访问menagerie 数据库的全部表，但只能读取。也就是说，该用户只能发布SELECT 语句。上一页123下一页 怎样在授权表项中指定本地主机名假如您运用服务器的主机名而非localhost，通常存在从该服务器主机连接的问题。这可能是由于在授权表中指定名字的方法和名字分解器例程（ name reslover routine）向程序报告名字的方法之间的错误匹配。假如分解器报告了一个非限定的名字（如p i t - v i per），但授权表