软件开发培训班 >> 编程开发 >> MySQL


MySQL的存取权限系统

  看到众多网友提出关于MySQL登录不上服务器的问题,包含有的是在PHP中调用MySQL时 产生的不能登录MySQL数据库服务器的问题, 认为是PHP出了问题 。其实是MySQL权限的问题 。

  MySQL的权限系统在MySQL的手册中是很长的一章,我把它打印出来足足印了20多页!这里就将我对它的 了解简要地写出来, 盼望能对方才接触MySQL的同志有点协助;有说得不对的地方,也请同志们指出 。

  在我了解了MySQL的权限机制后, 不禁得不赞美它的 精密与 奇妙; 兴许全部的数据库系统都是如此罢,只不过别的大型数据库把权限做得不需超级治理员亲自 干涉数据表而已 。

  MySQL的权限 保留在名为mysql的数据库中,有user、db、host、tables_priv、columns_priv 等五个表 。

  首先, 制约消费者的登录的,惟独 user 表,其中最常用的是 user、host、password这三个字段 。 其余的select_priv、update_priv、…… 这些字段分别 示意该消费者是否有select、update、……等权限,这些字段设置为'Y' 示意该消费者 占有对应的权限,'N' 示意消费者没有对应的权限 。 留神,这里指定的权限是全局的,一旦你在user表中给了一个消费者select或update权限,他就对这台服务器上任何数据库、任何表 占有上述权限!其中固然包含mysql数据库!!这 象征着他 可以通过更改user表里的数据非法地猎取更大的权限!!!这是十分可怕的,所以 提议除了给root消费者外,不要在user表中 调配权限 。特殊的,你 可以 构建一个 几乎跟root 占有同样权限的消费者(密码可不要告诉别人哟!)在 淡忘了root密码时就用得到了 。在增加一个消费者时,假如不指定权限字段的值,它们的默许值都是'N',——也便是这个消费者什么权限也没有——你 可以 释怀的在user表中增加消费者,由于 即便他能登录进来,却什么也干不了 。

  还有一个应该 留神的问题便是user表中的password字段 。试想,既然root消费者 可以阅读mysql数据库, 可以看到user表的password字段,是否便是看到了 其余消费者的密码呢?不是的!user表的password字段 保留的是用password()函数加密了的消费者密码,当消费者登录时,服务器将收到的消费者输入的密码用password()函数加密,加密得到的字串与user表password字段如能匹配,则认为密码正确 。password()没有逆运算,所以任何人 无奈从一个加密的字串得到密码的明文 。同时,假如你手工 批改user表,别忘了在更新password字段时 定然要用password()函数加密 。例如,你要同意一位名为 bill 的消费者登录你的服务器,你给他设定一个 12345 的密码,则应该:

insert into user (user,host,password) values ('bill','%',password('12345'));

假如你直接

insert into user (user,host,password) values ('bill','%','12345');

的话,恐怕他登不上你的服务器,也会到奥索网上发帖子问的 。

   留神,每当手工操作了跟权限有关的数据表以后,要执行一条 flush privileges 命令 威力使其生效 。

  下面的问题便是如何给消费者 调配权限了 。假如你要给一个消费者开一个数据库,并把有关这个数据库的全部或 部分权限开放给他,这就用到了db表 。db表的 意思在于,当一个消费者 申请一个 查问时,检测该消费者关于他的 查问所针对的数据库是否 占有进行该 查问操作的权限,有,则同意 查问;没有,则进一步 征询tables_priv表 。db表的最常用字段是 user、db、和那一大堆有关权限的字段 。user,不用说了,便是那个消费者的消费者名,跟user表中的对应;db,便是要分给他的数据库名 。 而后就把要给他的权限 绝对应的权限字段设为'Y' 。同样,这些字段的值在不指定的时候默许是'N' 。你也 可以用GRANT/REVOKE命令给消费者 调配权限, 可以是这样的:

grant select,update,insert,delete,creater,alter,drop,index on bill.* to bill;

  这样就把针对bill这个数据库的 几乎全部的权限给了消费者bill 。这里没有给的只不过grant权限,关于这个权限, 提议不要轻易给人,由于消费者有了grant权限,也就 可以将权限 调配给 其余消费者 。值得庆幸的是, 占有grant权限的消费者能并且不得不将他自己已经 占有的权限 调配给别人 。

   使用GRANT/REVOKE命令更改了权限后,不须执行 flush privileges 命令就 可以使更改生效 。

  上面 探讨的是给一个消费者 彻底开放一个数据库的问题,假如只想给一个消费者一个特定的表的权限,便是 tables_priv 表 施展作用的时候啦 。这里的 要害性字段是user、db、table_name  。明显的,要给一个消费者指定一个特定的数据库中特定表的权限,三个 要害 因素便是:哪个消费者(user)、哪个数据库(db)、哪个表(table_name) 。它的机理跟db表是 类似的,我 毋庸再 反复 。唯一不同的是这里用了一个SET类型的字段 table_priv 来指定消费者对这个表权限,SET的成员有 SELECT, UPDATE, INSERT, DELETE, ALTER, CREATE, DROP, GRANT, INDEX, REFERENCE 等,你 可以 取舍其中任意一个或几个 调配给消费者 。

  在上述提及的几个权限表中以及未提及的host表中,都有一个host字段,它用来 划分来自不同主机的、消费者名可能 雷同的人,或者是给同一个消费者从不同的主机衔接时赋予不同的权限 。这种用法不很常用,但为了安全起见, 提议root消费者,假如不需求从远程衔接,请将他的host设为 localhost, 其余的则 可以设为 % ,即任何主机 。