Autorisations MySQL et gestion de la sécurité

Le système d'autorisations Mysql est très important, mais en même temps c'est quelque chose que de nombreux développeurs ou gestionnaires ignorent. Ce n’est pas seulement la répartition du pouvoir qui entraînera des conséquences tragiques irréparables. L'entreprise pour laquelle je travaillais auparavant ne prêtait pas beaucoup d'attention aux autorisations de base de données. Tous les développeurs disposaient des autorisations les plus élevées pour le système en ligne. Pensez-y, si l’un d’eux supprime un jour la base de données, savez-vous qui l’a fait parmi tant de personnes ? C’est pourquoi tout le monde doit y prêter attention.

Il est généralement recommandé que la plus haute autorité soit accordée à une seule personne, et cette personne fait office de gestionnaire et attribue ensuite les autorisations correspondantes aux autres développeurs. Les bibliothèques locales sont meilleures pendant la phase de développement. Pour les bibliothèques en ligne, soyez prudent lorsque vous accordez des autorisations.

Principe d'authentification d'autorité

L'authentification d'autorité MySQL est authentifiée à travers deux aspects. Tout d'abord, l'adresse IP, le nom d'utilisateur et le mot de passe de l'utilisateur seront vérifiés. Seuls les utilisateurs qui réussissent la vérification peuvent se connecter à Mysql. Une fois connecté, lorsque l'utilisateur effectue une opération, Mysql vérifiera les autorisations dont il dispose. Uniquement avec les autorisations, l'opération demandée par l'utilisateur sera effectuée. Sinon, il n'est pas exécuté.

Classification des autorisations MySQL

Les autorisations MySQL sont grossièrement divisées en trois catégories :

• Opérations sur les données , comme l'ajout, la suppression, la modification et la vérification.

• Opérations de structure, telles que la création de bibliothèques, la modification des structures de tables, etc.

• Autorisations de gestion, telles que la création d'utilisateurs, l'attribution d'autorisations, etc.

Principe d'attribution des autorisations MySQL

• Donner les autorisations minimales, par exemple, l'utilisateur n'a actuellement besoin que de Si vous disposez d'autorisations de lecture et n'avez besoin de voir qu'une seule table, n'attribuez pas d'autorisations de lecture à toutes les tables. Limitez les autorisations à une seule table. N'ayez pas peur de donner des autorisations de lecture à toutes les tables.

• Lors de la création d'un utilisateur, veillez à limiter l'adresse IP et à définir un mot de passe suffisamment puissant.

• Nettoyez régulièrement les utilisateurs inutiles et récupérez les autorisations inutiles.

Gestion du compte

Créer un compte

La syntaxe de création d'un utilisateur dans le document mysql est la suivante :

CREATE USER [IF NOT EXISTS]
    user [auth_option] [, user [auth_option]] ...
    [REQUIRE {NONE | tls_option [[AND] tls_option] ...}]
    [WITH resource_option [resource_option] ...]
    [password_option | lock_option] ...

Il y a beaucoup de paramètres, ne vous inquiétez pas, prenez votre temps et regardez les exemples. Commencez par créer un compte avec un minimum d’options.

# 创建一个无需密码即可本地登录的用户
mysql> CREATE USER 'u1'@'localhost';
Query OK, 0 rows affected

# 创建一个需要密码授权的用户，但不限制ip
mysql> CREATE USER 'u2'@'%' identified by '321232';
# 注意，密码必须使用引号，单引号或双引号都行，但不加就出错。

# 如果不想使用明文的密码，可以使用password
mysql> select password('111111');
+-------------------------------------------+
| password('111111')                        |
+-------------------------------------------+
| *FD571203974BA9AFE270FE62151AE967ECA5E0AA |
+-------------------------------------------+
1 row in set
mysql> CREATE USER 'u3'@'192.168.1.%' IDENTIFIED BY PASSWORD '*FD571203974BA9AFE270FE62151AE967ECA5E0AA';
Query OK, 0 rows affected

Afficher la liste des utilisateurs

La liste des utilisateurs du système est stockée dans la table des utilisateurs de la bibliothèque MySQL.

mysql> SELECT utilisateur, hôte, compte_verrouillé FROM mysql.user;
+---------------+----------- --+----------------+
| utilisateur hôte | compte_verrouillé |
+--------------+ -------------+----------------+
| racine | localhost |
| mysql.session | | Y |
| mysql.sys | localhost | Y |
| u1 | localhost |
| u2 |                                   | 192.168.1.% |
+----- --------+-------------+------- ---------+
7 lignes dans l'ensemble

Supprimer un utilisateurLa syntaxe pour supprimer un utilisateur est la suivante :

DROP USER 用户名@ip;

Supprimons maintenant u2@'%'

mysql> drop user u2@'%';
Query OK, 0 rows affected

De cette façon, l'utilisateur u2 sera supprimé.

Modifier le compte utilisateurLa syntaxe est la suivante :

rename user old@'oldip' to new@'newip';

Le cas est le suivant :

mysql> RENAME USER u1@localhost to user1@'127.0.0.1';
Query OK, 0 rows affected

Autorisation

学完了如何创建账号及管理账号后，我们来看看如何给用户授权以及如何回收不需要的权限。

用户授权

给用户授权语法如下：

GRANT 权限 ON 数据库名*表名 TO 用户名@ip;

案例如下：

mysql> GRANT SELECT ON *.* TO 'u1'@'localhost' ; 
Query OK, 0 rows affected (0.00 sec) 
-- 全局级别授权   
mysql> GRANT ALL ON test.* TO 'u2'@'localhost'; 
Query OK, 0 rows affected (0.00 sec) 
-- 数据库级别授权   
mysql> GRANT ALL ON test.student TO 'u3'@'localhost' WITH GRANT OPTION; 
-- 表级别授权

查看用户的权限

给用户授权后，我们来查看用户是否已经获得到了这些权限。

回收用户权限

当发现给与的权限多了，那么就应该及时回收这些权限。回收权限的语法和授权的语法非常像。

REVOKE 权限 ON 数据库*表 FROM 用户名@ip地址

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!