权限与安全

数据库的权限和数据库的安全是息息相关的，不当的权限设置可能会导致各种各样的安全隐患，操作系统的某些设置也会对MySQL的安全造成影响。

1、 权限系统的工作原理

MySQL的权限系统通过下面两个阶段进行认证：

对连接到数据库的用户进行身份认证，以此来判断此用户是否属于合法的用户，合法的用户通过认证，不合法的用户拒绝连接

对通过认证的合法的用户则赋予相应的权限，用户可以在这些权限范围内对数据库做相应的操作

1.1身份认证

对于身份认证，MySQL是通过IP地址和用户名联合进行确认的，也就是说，同样的一个用户名如果来自不同的IP地址，则MySQL将其视为不同的用户。

例如MySQL安装后默认创建的用户root@localhost表示用户root只能从本地(localhost)进行连接才可以通过认证，此用户从其他任何主机对数据库进行的连接都将被拒绝，除非安装时选择了（Enable root access from remote machines），那创建的就是root@%用户，就表示可以从任意主机通过root用户进行连接。

1.2权限表的存取

在权限存取的两个过程中，系统会用到”mysql”数据库中user和db、host这三个最重要的权限表。

user表中的权限是针对所有数据库的，db表存储了某个用户对一个数据库的权限，host表中存储了某个主机对数据库的操作权限，配合db表对给定主机上数据库级操作权限做更细致的控制；但是很少用，新版本已经取消了host表。

当用户进行连接时，权限表的存取过程有一些两个阶段：

先从user表中的host、user和password这3个字段中判断连接的IP、用户名和密码是否存在与表中，如果存在，则通过身份验证，否则拒绝连接。

如果通过身份验证，则按照一些权限表的顺序得到数据库权限：user->db->tables_priv->columns_priv。在这几个权限表中，权限范围依次递减，全局权限覆盖局部权限。

n 当用户通过权限认证，进行权限分配是时先检查全局权限表user，如果user中对应权限为Y，则此用户对所有数据库的权限都为Y，将不再检查db、tables_priv和columns_priv；如果为N，则到db表中检查此用户对应的具体数据库，并得到db中为Y的权限，如果db中相应权限为N，则检查tables_priv中此数据库对应的具体表，取得表中为Y的权限，如果tables_priv中相应的权限为N，则检查columns_priv中此表对应的具体列，取得列中为Y的权限。

用户表user

user表有39个字段。这些字段可以分为4类：

用户列：host，user，password三个字段

安全列：ssl_type、ssl_cipher、x509_issuer、x509_subject

ssl用于加密；x509标准可以用来标识用户。普通的发行版都没有加密功能。可以使用SHOW VARIABLES LIKE 'have_openssl'语句来查看是否具有ssl功能。如果取值为DISABLED，那么则没有ssl加密功能。

资源控制列：max_questions（每小时可以允许执行多少次查询）、max_updates（每小时可以允许执行多少次更新）、max_connections（每小时可以建立多少连接）、max_user_connections（单个用户可以同时具有的连接数）

默认值为0，表示无限制。

权限列：

这些字段的值只有Y和N。Y表示该权限可以用到所有数据库上；N表示该权限不能用到所有数据库上；通常，可以使用GRANT语句Wie用户赋予一些权限，也可以通过Update语句更新user表的方式来设置权限；不过，修改user表之后，一定要执行一下FLUSH PRIVILEGES

其他几个db、host、tables_priv、columns_priv权限表类似，可以通过desc查看字段

2、 账号管理

2.1创建或更改账号

语句命令方式

有两种方法：

（1）使用GRANT语法创建（推荐）

（2）直接insert，update权限表

GRANT 权限类型列表on object_type {表名称|*|*.*|db_name.*}to user [identified by password ‘密码’][,user [identified by password ‘密码’] ....with grant option;其中：object_type = TABLE | FUNCTION | PROCEDURE

示例：

例1：创建用户admin，权限为可以在所有数据库上执行所有权限，但只能从本地进行连接

GRANT ALL PRIVILEGES ON *.* TO admin@localhost;

可以发现除了Grant_priv权限外，所有权限在user表里面都是Y.

例2：在例1基础上，增加对admin的grant权限

GRANT ALL PRIVILEGES ON *.* TO admin@localhost WITH GRANT OPTION;

例3：在例2基础上，设置密码为“123”

GRANT ALL PRIVILEGES ON *.* TO admin@localhost IDENTIFIED BY '123' WITH GRANT OPTION;

例4：创建新用户chai，可以从任何IP进行连接，权限为对test数据库的所有表进行SELECT、UPDATE、INSERT、DELETE操作，初始密码为“123”

GRANT SELECT,INSERT,UPDATE,DELETE ON test.* TO 'chai'@'%' IDENTIFIED BY '123';

发现此例，user表中权限都是N，db表中增加的记录权限则都是Y。

注意：

mysql数据库的user表中user的值为空，表示所有用户都可以连接（此处不能用*，*表示用户名为*的用户了）

mysql数据库的user表中host的值为*或空，表示所有外部IP都可以连接，但是不包括本地服务器localhost，因此如果要包括本地服务器，必须单独为localhost赋予权限。如果host的值为%，表示所有IP，包括本地服务器localhost。

如果有多个匹配，服务器必须选择使用哪个条目，按照下述原则来解决：

服务器在启动时读入user表后进行排序

首先以最具体的host值排序，%排后面，如果host相同，以最具体的user值排序，空User值排后面。

服务器使用与客户端和用户名匹配的第一行

navicat图形化界面

1、新建用户

2、填写用户名、主机和密码

3、配use表的安全列和资源权限列的信息

0表示不限制

4、选择user表的权限，这是针对所有数据库的全局权限

5、也可以设置单独某个数据库或某个表，或某个列的权限

SQLyog图形化界面

1、新建用户

2、填写用户名密码和资源权限等

3、全局权限

4、某个库或某个表等局部权限

2.2查看账户权限

show grants for user@host;

2.3删除用户

drop user 用户名;

相关阅读：

MySQL之MYCAT读写分离

如何和MySQL进行通信

Mysql的逻辑架构与存储引擎

MYSQL数据库之事务

MySQL之排序分组优化索引的选择