[[393558]]
本文转载自微信公众号「MySQL技术」,理实作者MySQL技术。限管转载本文请联系MySQL技术公众号。理实
前言:
不清楚各位同学对数据库用户权限管理是限管否了解,作为一名 DBA ,理实用户权限管理是限管绕不开的一项工作内容。特别是理实生产库,数据库用户权限更应该规范管理。限管本篇文章将会介绍下 MySQL 用户权限管理相关内容。
当我们创建过数据库用户后,还不能执行任何操作,需要为该用户分配适当的访问权限。
关于 MySQL 用户权限简单的理解就是数据库只允许用户做你权利以内的事情,不可以越界。比如只允许你执行 select 操作,那么你就不能执行 update 操作。只允许你从某个 IP 上连接 MySQL ,那么你就不能从除那个 IP 以外的其他机器连接 MySQL 。
在 MySQL 中,用户权限也是分级别的,可以授予的权限有如下几组:
权限信息存储在 mysql 系统库的 user、db、tables_priv、columns_priv、procs_priv 这几个系统表中。
参考官方文档,可授予的权限如下表所示:
看起来各种可授予的权限有很多,其实可以大致分为数据、结构、管理三类,大概可分类如下:
我们一般用 grant 语句为数据库用户赋权,建议大家先用 create user 语句创建好用户之后再单独进行授权。下面通过示例来具体看下:
- # 创建用户
- create user 'test_user'@'%' identified by 'xxxxxxxx';
- # 全局权限
- GRANT super,select on *.* to 'test_user'@'%';
- # 库权限
- GRANT select,insert,update,delete,create,alter,execute on `testdb`.* to 'test_user'@'%';
- # 表权限
- GRANT select,insert on `testdb`.tb to 'test_user'@'%';
- # 列权限
- GRANT select (col1), insert (col1, col2) ON `testdb`.mytbl to 'test_user'@'%';
- # GRANT命令说明:
- super,select 表示具体要授予的权限。
- ON 用来指定权限针对哪些库和表。
- *.* 中前面的*号用来指定数据库名,后面的*号用来指定表名。
- TO 表示将权限赋予某个用户。
- 'test_user'@'%' 表示test_user用户,@后面接限制的主机,可以是IP、IP段、域名以及%,%表示任何地方。
- # 刷新权限
- flush privileges;
- # 查看某个用户的权限
- show grants for 'test_user'@'%';
- # 回收权限
- revoke delete on `testdb`.* from 'test_user'@'%';
权限管理是一件不容忽视的事,我们不能为了方便而给数据库用户很大的权限。特别是对于生产库,更应该进行权限管控,建议程序用户只赋予增删改查等基础权限,个人用户只赋予查询权限。
出于安全考虑,建议遵循以下几个经验原则:
参考:
https://dev.mysql.com/doc/refman/5.7/en/privileges-provided.html
https://www.cnblogs.com/richardzhu/p/3318595.html
责任编辑:武晓燕 来源: MySQL技术 MySQL权限管理
(责任编辑:休闲)
泰勒·斯威夫特照片被滥用,生成式AI让Deepfake变得廉价且简单
“放水养鱼”式管理激发市场活力 安徽降本减负典型经验做法获点赞
现代传播(00072.HK)预计年度由盈转亏逾6500万元 集团广告收益下降