加入時間: 19 May 2004 01:09
瀏覽次數: 550 下面就討論一些例子。
1.1 誰能連接,從那兒連接?
你可以允許一個用戶從特定的或一系列主機連接。有一個極端,如果你知道降職從一個主機連接,你可以將許可權局限於單個主機
:GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"GRANT ALL ON samp_db.* TO fred@res.mars.com IDENTIFIED BY "quartz"
(samp_db.*意思是"samp_db資料庫的所有表)
另一個極端是,你可能有一個經常旅行並需要能從世界各地的主機連接的用戶max。在這種情況下,你可以允許他無論從哪里連接:
GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond"
"%"字元起通配符作用,與LIKE模式匹配的含義相同。在上述語句中,它意味著"任何主機"。所以max和max@%等價。這是建立用戶最簡單的方法,但也是最不安全的。
取其中,你可以允許一個用戶從一個受限的主機集合訪問。例如,要允許mary從snake.net域的任何主機連接,用一個%.snake.net主機指定符:
GRANT ALL ON samp_db.* TO mary@.snake.net IDENTIFIED BY "quartz";
如果你喜歡,用戶識別字的主機部分可以用IP位址而不是一個主機名來給定。你可以指定一個IP位址或一個包含模式字元的位址,而且,從MySQL 3.23,你還可以指定具有指出用於網路號的位元數的網路遮罩的IP號:
GRANT ALL ON samp_db.* TO boris@192.168.128.3 IDENTIFIED BY "ruby" GRANT ALL ON samp_db.* TO fred@192.168.128.% IDENTIFIED BY "quartz" GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIED BY "ruby"
第一個例子指出用戶能從其連接的特定主機,第二個指定對於C類子網192.168.128的IP模式,而第三條語句中,192.168.128.0/17指定一個17位元網路號並匹配具有192.168.128頭17位的IP地址。
如果MySQL抱怨你指定的用戶值,你可能需要使用引號(只將用戶名和主機名部分分開加引號)。
GRANT ALL ON samp_db.president TO "my friend"@"boa.snake.net"
1.2 用戶應該有什麼級別的許可權和它們應該適用於什麼?
你可以授權不同級別的許可權,全局許可權是最強大的,因為它們適用於任何資料庫。要使ethel成為可做任何事情的超級用戶,包括能授權給其他用戶,發出下列語句:
GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION
ON子句中的*.*意味著"所有資料庫、所有表"。從安全考慮,我們指定ethel只能從本地連接。限制一個超級用戶可以連接的主機通常是明智的,因為它限制了試圖破解口令的主機。
有些許可權(FILE、PROCESS、RELOAD和SHUTDOWN)是管理許可權並且只能用"ON *.*"全局許可權指定符授權。如果你願意,你可以授權這些許可權,而不授權資料庫許可權。例如,下列語句設置一個flush用戶,他只能發出flush語句。這可能在你需要執行諸如清空日誌等的管理腳本中會有用:
GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass"
一般地,你想授權管理許可權,吝嗇點,因為擁有它們的用戶可以影響你的伺服器的操作。
資料庫級許可權適用於一個特定資料庫中的所有表,它們可通過使用ON db_name.*子句授予:
GRANT ALL ON samp_db TO bill@racer.snake.net INDETIFIED BY "rock" GRANT SELECT ON samp_db TO ro_user@% INDETIFIED BY "rock"
第一條語句向bill授權samp_db資料庫中所有表的許可權,第二條創建一個嚴格限制訪問的用戶ro_user(唯讀用戶),只能訪問samp_db資料庫中的所有表,但只有讀取,即用戶只能發出SELECT語句。
你可以列出一系列同時授予的各個許可權。例如,如果你想讓用戶能讀取並能修改現有資料庫的內容,但不能創建新表或刪除表,如下授予這些許可權:
GRANT SELECT,INSERT,DELETE,UPDATE ON samp_db TO bill@snake.net INDETIFIED BY "rock"
對於更精致的訪問控制,你可以在各個表上授權,或甚至在表的每個列上。當你想向用戶隱藏一個表的部分時,或你想讓一個用戶只能修改特定的列時,列特定許可權非常有用。如:
GRANT SELECT ON samp_db.member TO bill@localhost INDETIFIED BY "rock"GRANT UPDATE (expiration) ON samp_db. member TO bill@localhost
第一條語句授予對整個member表的讀許可權並設置了一個口令,第二條語句增加了UPDATE許可權,當只對expiration列。沒必要再指定口令,因為第一條語句已經指定了。
如果你想對多個列授予許可權,指定一個用逗號分開的列表。例如,對assistant用戶增加member表的地址欄位的UPDATE許可權,使用如下語句,新許可權將加到用戶已有的許可權中:
GRANT UPDATE (street,city,state,zip) ON samp_db TO assistant@localhost
通常,你不想授予任何比用戶確實需要的許可權寬的許可權。然而,當你想讓用戶能創建一個臨時表以保存中間結果,但你又不想讓他們在一個包含他們不應修改內容的資料庫中這樣做時,發生了要授予在一個資料庫上的相對寬鬆的許可權。你可以通過建立一個分開的資料庫(如tmp)並授予開資料庫上的所有權限來進行。例如,如果你想讓來自mars.net域中主機的任何用戶使用tmp資料庫,你可以發出這樣的GRANT語句:
GRANT ALL ON tmp.* TO ""@mars.net
在你做完之後,用戶可以創建並用tmp.tbl_name形式引用tmp中的表(在用戶指定符中的""創建一個匿名用戶,任何用戶均匹配空白用戶名)。
1.3 用戶應該被允許管理許可權嗎?
你可以允許一個資料庫的擁有者通過授予資料庫上的所有擁有者許可權來控制資料庫的訪問,在授權時,指定WITH GRANT OPTION。例如:如果你想讓alicia能從big.corp.com域的任何主機連接並具有sales資料庫中所有表的管理員許可權,你可以用如下GRANT語句:
GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION
在效果上WITH GRANT OPTION子句允許你把訪問授權的權利授予另一個用戶。要注意,擁有GRANT許可權的兩個用戶可以彼此授權。如果你只給予了第一個用戶SELECT許可權,而另一個用戶有GRANT加上SELECT許可權,那麼第二個用戶可以是第一個用戶更"強大"。
2 撤權並刪除用戶
要取消一個用戶的許可權,使用REVOKE語句。REVOKE的語法非常類似於GRANT語句,除了TO用FROM取代並且沒有INDETIFED BY和WITH GRANT OPTION子句:
REVOKE privileges (columns) ON what FROM user
user部分必須匹配原來GRANT語句的你想撤權的用戶的user部分。privileges部分不需匹配,你可以用GRANT語句授權,然後用REVOKE語句只撤銷部分許可權。
REVOKE語句只刪除許可權,而不刪除用戶。即使你撤銷了所有權限,在user表中的用戶記錄依然保留,這意味著用戶仍然可以連接伺服器。要完全刪除一個用戶,你必須用一條DELETE語句明確從user表中刪除用戶記錄:
%mysql -u root mysqlmysql>DELETE FROM user ->WHERE User="user_name" and Host="host_name";mysql>FLUSH PRIVILEGES;
DELETE語句刪除用戶記錄,而FLUSH語句告訴伺服器重載授權表。(當你使用GRANT和REVOKE語句時,表自動重載,而你直接修改授權表時不是。) |
