学习内容:
1.权限管理:
关于mysql的权限简单的理解就是mysql允许你做你权利以内的事情,不可以越界。比如只允许你执行select操作,那么你就不能执行update操作。只允许你从某台机器上连接mysql,那么你就不能从除那台机器以外的其他机器连接mysql。
那么MYSQL的权限是如何实现的呢?这就要说到mysql的两阶段的验证:
第一阶段:服务器首先会检查你是否允许连接。因为创建用户的时候会加上主机限制,可以限制成本地、某个IP、某个IP段、以及任何地方等,只允许你从配置的指定地方登录。后面在实战的时候会详细说关于主机的限制。
第二阶段:如果你能连接,MYSQL会检查你发出的每个请求,看你是否有足够的权限实施它。比如你要更新某个表、或者查询某个表,MYSQL会检查你对哪个表或者某个列是否有权限。再比如,你要运行某个存储过程,MYSQL会检查你对存储过程是否有执行权限等。
mysql的权限:
官网上涉及mysql的权限有很多。。。。这里只是简单的介绍一下分类。。。
| 权限分布 | 可能的设置的权限 |
| 表权限 | 'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter' |
| 列权限 | 'Select', 'Insert', 'Update', 'References' |
| 过程权限 | 'Execute', 'Alter Routine', 'Grant' |
最主要的还是mysql的两个权限是如何验证的。。。并且熟悉了mysql的权限是做什么的,那么这方面的知识就很容易理解了。。。
2.MYSQL权限经验原则
权限控制主要是出于安全因素,因此需要遵循一下几个经验原则:
i.只授予能满足需要的最小权限,比如用户只是需要查询,那就只给select权限就可以了,不要给用户赋予update、insert或者delete权限。
ii.创建用户的时候限制用户的登录主机,一般是限制成指定IP或者内网IP段。
iii.初始化数据库的时候删除没有密码的用户。
iv.安装完数据库的时候会自动创建一些用户,这些用户默认没有密码。为每个用户设置满足密码复杂度的密码。
v.定期清理不需要的用户。回收权限或者删除用户。
3.如何创建用户呢?并且如何为用户设置权限呢?
GRANT ALL PRIVILEGES ON *.* TO clearlove@'localhost' IDENTIFIED BY '49681888' WITH GRANT OPTION;
解释一下上面语句的含义:
grant 关键字 all privileges 赋予所有权限
*.*表示(数据库.表格名)比如说我们想在samp数据库里的shop表建立一个超级权限用户,那么*.*就可以写成 samp.shop
to 表示将权限赋予某个用户。。
clearlove@'localhost'表示clearlove这个用户@后面可以接ip,或者域名,这里接的是自己的主机...
identified by 表示为用户设置一个登陆密码为:49681888
with grant option 表示可以将自己的权限赋予给别人。。这句话尤其重要。。。
注:可以使用GRANT重复给用户添加权限,权限叠加,比如你先给用户添加了一个select权限,然后又给用户添加了一个insert权限,那么该用户就同时拥有了select和insert权限。
4.创建一个超级用户
grant all privileges on samp_db.shop to clearlove@'localhost' identified by '49681888' with grant option;
5.创建一个普通用户
创建一个一般的程序用户,这个用户可能只需要SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES等权限如果有存储过程还需要加上EXECUTE权限,一般是指定内网网段192.168.100网段。
GRANT USAGE,SELECT, INSERT, UPDATE, DELETE, SHOW VIEW ,CREATE TEMPORARY TABLES,EXECUTE ON samp.shop TO webuser@'192.168.100.%' IDENTIFIED BY '49681888';
6.创建一个网站用户
GRANT USAGE,SELECT ON samp.shop TO public@'192.168.100.%' IDENTIFIED BY '49681888';
7.刷新权限
权限刷新一般指的就是我们在更改了权限的时候,我们需要对权限进行刷新才能使得我们更改的权限生效。。。
FLUSH PRIVILEGES;
8.查看任意用户的权限
SHOW GRANTS FOR 'webuser'@'192.168.100.%';
9.回收权限
REVOKE DELETE ON test.* FROM 'webuser'@'192.168.100.%';
10.删除用户
注意删除用户不要使用DELETE直接删除,因为使用DELETE删除后用户的权限并未删除,新建同名用户后又会继承以前的权限。正确的做法是使用DROP USER命令删除用户,比如要删除'webuser'@'192.168.100.%'用户采用如下命令...
DROP USER 'webuser'@'192.168.100.%';
自己对权限管理算是有了一个基本的学习,也只是简单的介绍了一些基本的东西。。。权限管理一般在大型项目中使用得到。。。在这里也就不再进行班门弄斧了。。。。
