MySql受權和撤銷權限操做

MySQL 賦予用戶權限命令的簡單格式可歸納爲：

grant 權限 on 數據庫對象 to 用戶

　　用戶後面能夠加@'ip地址' identified by '密碼'

 例如:

 

grant all on *.* to root@'%'IDENTIFIED by '123456'

 

grant all on *.* to ted@'123.123.123.123'IDENTIFIED by '123456'

 

上面的語句表示將 全部 數據庫的全部權限受權給 ted 這個用戶，容許 ted 用戶在 123.123.123.123 這個 IP 進行遠程登錄，並設置 ted 用戶的密碼爲 123456 。
下面逐一分析全部的參數：


all PRIVILEGES

　　 表示賦予全部的權限給指定用戶，這裏也能夠替換爲賦予某一具體的權限，例如：select,insert,update,delete,create,drop 等，具體權限間用「,」半角逗號分隔。

discuz.* 

　　表示上面的權限是針對於哪一個表的，discuz 指的是數據庫，後面的 * 表示對於全部的表，由此能夠推理出：對於所有數據庫的所有 表受權爲「*.*」，對於某一數據庫的所有表受權爲「數據庫名.*」，對於某一數據庫的某一表受權爲「數據庫名.表名」。


ted 表示你要給哪一個用戶受權，這個用戶能夠是存在的用戶，也能夠是不存在的用戶。

123.123.123.123

　　 表示容許遠程鏈接的 IP 地址，若是想不限制連接的 IP 則設置爲「%」便可。

123456 

　　爲用戶的密碼。
執行了上面的語句後，再執行下面的語句，方可當即生效。
> flush privileges;

 

 

1、grant 普通數據用戶，查詢、插入、更新、刪除 數據庫中全部表數據的權利

grant select on testdb.* to common_user@'%' 

grant insert on testdb.* to common_user@'%' 

grant update on testdb.* to common_user@'%' 

grant delete on testdb.* to common_user@'%' 

 

或者，用一條 MySQL 命令來替代：

grant select, insert, update, delete on testdb.* to common_user@'%' 

2、grant 數據庫開發人員，建立表、索引、視圖、存儲過程、函數等權限

grant 建立、修改、刪除 MySQL 數據表結構權限。

grant create on testdb.* to developer@'192.168.0.%';

grant alter on testdb.* to developer@'192.168.0.%';

grant drop on testdb.* to developer@'192.168.0.%'; 

 

grant 操做 MySQL 外鍵權限：

 

grant references on testdb.* to developer@'192.168.0.%'; 

 

 

 

 

grant 操做 MySQL 臨時表權限：

grant create temporary tables on testdb.* to developer@'192.168.0.%'; 

 

 

 

 

grant 操做 MySQL 索引權限：

grant index on testdb.* to developer@'192.168.0.%'; 

 

 

 

 

grant 操做 MySQL 視圖、查看視圖源代碼權限：

grant create view on testdb.* to developer@'192.168.0.%';

grant show view on testdb.* to developer@'192.168.0.%'; 

 

 

grant 操做 MySQL 存儲過程、函數權限：

grant create routine on testdb.* to developer@'192.168.0.%'; -- now, can show procedure status 

grant alter routine on testdb.* to developer@'192.168.0.%'; -- now, you can drop a procedure 

grant execute on testdb.* to developer@'192.168.0.%'; 

 

 

3、grant 普通 DBA 管理某個 MySQL 數據庫的權限

grant all privileges on testdb to dba@'localhost' 

 

其中，關鍵字 「privileges」 能夠省略。

 

4、grant 高級 DBA 管理 MySQL 中全部數據庫的權限：

grant all on *.* to dba@'localhost' 

5、MySQL grant 權限，分別能夠做用在多個層次上

1. grant 做用在整個 MySQL 服務器上：

grant select on *.* to dba@localhost; -- dba 能夠查詢 MySQL 中全部數據庫中的表。 

grant all on *.* to dba@localhost; -- dba 能夠管理 MySQL 中的全部數據庫 

 

 

2. grant 做用在單個數據庫上：

grant select on testdb.* to dba@localhost; -- dba 能夠查詢 testdb 中的表。

 

3. grant 做用在單個數據表上：

grant select, insert, update, delete on testdb.orders to dba@localhost; 

 

 

 

這裏在給一個用戶受權多張表時，能夠屢次執行以上語句。例如：

grant select(user_id,username) on smp.users to mo_user@'%' identified by '123345';

grant select on smp.mo_sms to mo_user@'%' identified by '123345'; 

 

 

4. grant 做用在表中的列上：

grant select(id, se, rank) on testdb.apache_log to dba@localhost; 

 

 

 

5. grant 做用在存儲過程、函數上： 

grant execute on procedure testdb.pr_add to 'dba'@'localhost' 

grant execute on function testdb.fn_add to 'dba'@'localhost' 

 

 

6、查看 MySQL 用戶權限

查看當前用戶（本身）權限：

show grants; 

 

查看其餘 MySQL 用戶權限：

show grants for dba@localhost; 

 

 

 

7、撤銷已經賦予給 MySQL 用戶權限的權限。

revoke 跟 grant 的語法差很少，只須要把關鍵字 「to」 換成 「from」 便可：

grant all on *.* to dba@localhost;

revoke all on *.* from dba@localhost; 

 

 

8、MySQL grant、revoke 用戶權限注意事項

1. grant, revoke 用戶權限後，該用戶只有從新鏈接 MySQL 數據庫，權限才能生效。

2. 若是想讓受權的用戶，也能夠將這些權限 grant 給其餘用戶，須要選項 「grant option「

grant select on testdb.* to dba@localhost with grant option;

grant select on testdb.* to dba@localhost with grant option;

這個特性通常用不到。實際中，數據庫權限最好由 DBA 來統一管理。

 

補充：

mysql受權表共有5個表：user、db、host、tables_priv和columns_priv。

受權表的內容有以下用途：
user表
user表列出能夠鏈接服務器的用戶及其口令，而且它指定他們有哪一種全局（超級用戶）權限。在user表啓用的任何權限均是全局權限，並適用於全部數據庫。例如，若是你啓用了DELETE權限，在這裏列出的用戶能夠從任何表中刪除記錄，因此在你這樣作以前要認真考慮。

db表
db表列出數據庫，而用戶有權限訪問它們。在這裏指定的權限適用於一個數據庫中的全部表。

host表
host表與db表結合使用在一個較好層次上控制特定主機對數據庫的訪問權限，這可能比單獨使用db好些。這個表不受GRANT和REVOKE語句的影響，因此，你可能發覺你根本不是用它。

tables_priv表
tables_priv表指定表級權限，在這裏指定的一個權限適用於一個表的全部列。

columns_priv表
columns_priv表指定列級權限。這裏指定的權限適用於一個表的特定列

 

 

總結:(理解原理)

　　使用grant受權實質是在mysql數據庫的user表中增長一列，收回權限實質是從表中刪除一列。因此受權也能夠替換爲刪除表數據來代替，受權收權實質是操做mysql的user表。

查看mysql.user表的結構:(windows與linux不一樣的是password列名改成authentication_string)

 

 

未受權前查看總數:

 

 受權給root,容許登陸的ip是%,密碼是123456，受權以後變爲9列。

 

 

 

用root，123456登陸查看

 

 收回剛纔用戶的權限:(收權以後只是收回權限，還能夠登陸。)

 

 

刪除mysql的user表中的數據，將沒權限訪問:(完全的收權方法:)

delete from mysql.user where user='root' and host='%';
flush privileges;