MySQL-Berechtigungen und Sicherheitsverwaltung

Das MySQL-Berechtigungssystem ist sehr wichtig, aber gleichzeitig wird es von vielen Entwicklern oder Managern ignoriert. Nicht nur die Machtverteilung wird zu irreparablen tragischen Folgen führen. Das Unternehmen, für das ich zuvor gearbeitet habe, hat den Datenbankberechtigungen überhaupt nicht viel Aufmerksamkeit geschenkt. Alle Entwickler hatten die höchsten Berechtigungen für das Online-System. Denken Sie darüber nach: Wenn einer von ihnen eines Tages die Datenbank löscht, wissen Sie dann, wer von so vielen Leuten das getan hat? Deshalb muss jeder darauf achten.

Im Allgemeinen wird empfohlen, die höchste Autorität nur einer Person zu geben, und diese Person fungiert als Manager und weist dann anderen Entwicklern entsprechende Berechtigungen zu. Lokale Bibliotheken sind in der Entwicklungsphase besser. Seien Sie bei der Erteilung von Berechtigungen vorsichtig.

Prinzip der Autoritätsauthentifizierung

Die MySQL-Autoritätsauthentifizierung wird durch zwei Aspekte authentifiziert. Zunächst werden die IP, der Benutzername und das Passwort des Benutzers überprüft. Nur Benutzer, die die Überprüfung bestehen, können eine Verbindung zu MySQL herstellen. Wenn der Benutzer verbunden ist und eine Operation ausführt, überprüft MySQL die Berechtigungen, über die er verfügt. Nur mit den Berechtigungen wird die vom Benutzer angeforderte Operation ausgeführt. Andernfalls wird es nicht ausgeführt.

MySQL-Berechtigungsklassifizierung

MySQL-Berechtigungen werden grob in drei Kategorien unterteilt:

• Datenoperationen B. Hinzufügen, Löschen, Ändern und Überprüfen.

• Strukturoperationen, wie z. B. das Erstellen von Bibliotheken, das Ändern von Tabellenstrukturen usw.

• Verwaltungsberechtigungen, z. B. Benutzer erstellen, Berechtigungen zuweisen usw.

Prinzip der MySQL-Berechtigungszuweisung

• Geben Sie die Mindestberechtigungen, zum Beispiel dem Benutzer benötigt derzeit nur Wenn Sie über Leseberechtigungen verfügen und nur eine Tabelle sehen müssen, weisen Sie nicht allen Tabellen Leseberechtigungen zu. Beschränken Sie die Berechtigungen auf nur eine Tabelle. Scheuen Sie sich nicht vor der Mühe, allen Tabellen Leseberechtigungen zu erteilen.

• Achten Sie beim Erstellen eines Benutzers darauf, die IP-Adresse zu begrenzen und ein ausreichend starkes Passwort festzulegen.

• Bereinigen Sie unnötige Benutzer regelmäßig und fordern Sie unnötige Berechtigungen zurück.

Kontoverwaltung

Konto erstellen

Die Syntax zum Erstellen eines Benutzers im MySQL-Dokument lautet wie folgt:

CREATE USER [IF NOT EXISTS]
    user [auth_option] [, user [auth_option]] ...
    [REQUIRE {NONE | tls_option [[AND] tls_option] ...}]
    [WITH resource_option [resource_option] ...]
    [password_option | lock_option] ...

Es gibt viele Parameter, keine Sorge, nehmen Sie sich Zeit und schauen Sie sich die Beispiele an. Erstellen Sie zunächst ein Konto mit minimalen Optionen.

# 创建一个无需密码即可本地登录的用户
mysql> CREATE USER 'u1'@'localhost';
Query OK, 0 rows affected

# 创建一个需要密码授权的用户，但不限制ip
mysql> CREATE USER 'u2'@'%' identified by '321232';
# 注意，密码必须使用引号，单引号或双引号都行，但不加就出错。

# 如果不想使用明文的密码，可以使用password
mysql> select password('111111');
+-------------------------------------------+
| password('111111')                        |
+-------------------------------------------+
| *FD571203974BA9AFE270FE62151AE967ECA5E0AA |
+-------------------------------------------+
1 row in set
mysql> CREATE USER 'u3'@'192.168.1.%' IDENTIFIED BY PASSWORD '*FD571203974BA9AFE270FE62151AE967ECA5E0AA';
Query OK, 0 rows affected

Benutzerliste anzeigen

Die Systembenutzerliste wird in der Benutzertabelle in der MySQL-Bibliothek gespeichert.

mysql> SELECT user,host,account_locked FROM mysql.user;
+---------------+----------- --------------+ ----------+----------------+
|. localhost | |. Y |
|. localhost |
|.           |. 192.168,1.% N |
+----- --------+-------------+------- ---------+
7 Reihen im Satz



Benutzer löschen

Die Syntax zum Löschen eines Benutzers lautet wie folgt:

DROP USER 用户名@ip;

Jetzt löschen wir u2@'%'

mysql> drop user u2@'%';
Query OK, 0 rows affected

Auf diese Weise wird der u2-Benutzer gelöscht.

Benutzerkonto ändern

Die Syntax ist wie folgt:

rename user old@'oldip' to new@'newip';

Der Fall ist wie folgt:

mysql> RENAME USER u1@localhost to user1@'127.0.0.1';
Query OK, 0 rows affected

Autorisierung

学完了如何创建账号及管理账号后，我们来看看如何给用户授权以及如何回收不需要的权限。

用户授权

给用户授权语法如下：

GRANT 权限 ON 数据库名*表名 TO 用户名@ip;

案例如下：

mysql> GRANT SELECT ON *.* TO 'u1'@'localhost' ; 
Query OK, 0 rows affected (0.00 sec) 
-- 全局级别授权   
mysql> GRANT ALL ON test.* TO 'u2'@'localhost'; 
Query OK, 0 rows affected (0.00 sec) 
-- 数据库级别授权   
mysql> GRANT ALL ON test.student TO 'u3'@'localhost' WITH GRANT OPTION; 
-- 表级别授权

查看用户的权限

给用户授权后，我们来查看用户是否已经获得到了这些权限。

回收用户权限

当发现给与的权限多了，那么就应该及时回收这些权限。回收权限的语法和授权的语法非常像。

REVOKE 权限 ON 数据库*表 FROM 用户名@ip地址

Das obige ist der detaillierte Inhalt vonMySQL-Berechtigungen und Sicherheitsverwaltung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!