首頁 >資料庫 >mysql教程 >MySQL權限及安全管理

MySQL權限及安全管理

齐天大圣
齐天大圣原創
2020-05-29 09:11:151811瀏覽

Mysql權限系統非常重要,但同時又是一個很多開發者或管理者所忽略的。權限分配不但,將會造成難以挽回的悲慘後果。我之前所在一家公司,關於資料庫權限這塊就完全不重視,所有開發者都有線上系統的最高權限。想想看,如果哪天有其中一個人刪庫了,那麼多人你知道是誰弄的嗎?所以,大家一定要引起重視。

一般建議最高權限只會給一個人,這個人做為管理者,再去分配其他開發者對應權限。開發階段本地的函式庫還好些,對於線上的函式庫,給予權限時要慎重。

權限認證的原則

MySQL的權限認證是透過兩個面向來認證的。首先會進行用戶的ip、用戶名及密碼校驗,校驗通過的用戶,才能連接上Mysql。當連上後,使用者進行任何操作時,Mysql都會對其所擁有的權限進行校驗,擁有該權限,才會執行使用者要求的操作。否則,不執行。

Mysql權限分類

MySQL的權限大致分為三類:

  • 對數據的操作,例如增刪改查。

  • 結構的操作,例如建立庫,修改表格結構等。

  • 管理方面的權限,例如建立使用者、指派權限等。

Mysql權限分配原則

  • #給予最小權限,例如目前該使用者只需要看的權限且只需要看一個表格時,那就不要去分配所有表格的讀取權限。只限制為一個表格的權限,不要怕麻煩就給予所有表格的讀取權限。

  • 建立使用者時一定要限制ip及設定足夠強度的密碼。

  • 定期清理不需要的用戶,並回收那些不需要的權限。

帳號管理

#建立帳號

mysql文檔裡創建使用者的語法如下:

CREATE USER [IF NOT EXISTS]
    user [auth_option] [, user [auth_option]] ...
    [REQUIRE {NONE | tls_option [[AND] tls_option] ...}]
    [WITH resource_option [resource_option] ...]
    [password_option | lock_option] ...

參數有點多,別急,慢慢來透過例子來看。首先用最少的選項建立一個帳號。

# 创建一个无需密码即可本地登录的用户
mysql> CREATE USER 'u1'@'localhost';
Query OK, 0 rows affected

# 创建一个需要密码授权的用户,但不限制ip
mysql> CREATE USER 'u2'@'%' identified by '321232';
# 注意,密码必须使用引号,单引号或双引号都行,但不加就出错。

# 如果不想使用明文的密码,可以使用password
mysql> select password('111111');
+-------------------------------------------+
| password('111111')                        |
+-------------------------------------------+
| *FD571203974BA9AFE270FE62151AE967ECA5E0AA |
+-------------------------------------------+
1 row in set
mysql> CREATE USER 'u3'@'192.168.1.%' IDENTIFIED BY PASSWORD '*FD571203974BA9AFE270FE62151AE967ECA5E0AA';
Query OK, 0 rows affected

查看使用者清單

系統使用者清單是存放是mysql庫裡的user表。

mysql> SELECT user,host,account_locked FROM mysql.user;
--------------- ------------- ----------------
| user          | host        | account_locked |
--------------- ------ ------- ----------------
| root          | localhost   | N              |
| mysql.session | localhost   | Y    |
| mysql.session | localhost   | Y        .sys     | localhost   | Y              |
| u1            |              | N              |
| u2            | local 168.1.% | N |
--------------- ------------- ----------------
7 rows in set

刪除使用者#刪除使用者的語法如下:

DROP USER 用户名@ip;

現在我們來刪除u2@ '%'

mysql> drop user u2@'%';
Query OK, 0 rows affected

這樣u2用戶就被刪除了。

修改使用者帳號語法如下:

rename user old@'oldip' to new@'newip';

案例如下:

mysql> RENAME USER u1@localhost to user1@'127.0.0.1';
Query OK, 0 rows affected

授權

学完了如何创建账号及管理账号后,我们来看看如何给用户授权以及如何回收不需要的权限。

用户授权

给用户授权语法如下:

GRANT 权限 ON 数据库名*表名 TO 用户名@ip;

案例如下:

mysql> GRANT SELECT ON *.* TO 'u1'@'localhost' ; 
Query OK, 0 rows affected (0.00 sec) 
-- 全局级别授权   
mysql> GRANT ALL ON test.* TO 'u2'@'localhost'; 
Query OK, 0 rows affected (0.00 sec) 
-- 数据库级别授权   
mysql> GRANT ALL ON test.student TO 'u3'@'localhost' WITH GRANT OPTION; 
-- 表级别授权

查看用户的权限

给用户授权后,我们来查看用户是否已经获得到了这些权限。

回收用户权限

当发现给与的权限多了,那么就应该及时回收这些权限。回收权限的语法和授权的语法非常像。

REVOKE 权限 ON 数据库*表 FROM 用户名@ip地址

以上是MySQL權限及安全管理的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn