MySQL权限及安全管理-木庄网络博客

本文摘自PHP中文网，作者齐天大圣，侵删。

Mysql权限系统非常重要，但同时又是一个很多开发者或管理者所忽略的。权限分配不但，将会造成难以挽回的悲惨后果。我之前所在一家公司，关于数据库权限这块就完全不重视，所有开发者都有线上系统的最高权限。想想看，如果哪天有其中一个人删库了，那么多人你知道是谁弄的吗？所以，大家一定要引起重视。

一般建议最高权限只会给一个人，这个人做为管理者，再去分配其他开发者对应权限。开发阶段本地的库还好些，对于线上的库，给予权限时要慎重。

权限认证的原理

MySQL的权限认证是通过两个方面来认证的。首先会进行用户的ip、用户名及密码校验，校验通过的用户，才能连接上Mysql。当连上后，用户进行任何操作时，Mysql都会对其所拥有的权限进行校验，拥有该权限，才会执行用户请求的操作。否则，不执行。

Mysql权限分类

MySQL的权限大致分为三类：

对数据的操作，比如增删改查。
结构的操作，比如创建库，修改表结构等。
管理方面的权限，比如创建用户、分配权限等。

Mysql权限分配原则

给予最小权限，比如目前该用户只需要看的权限且只需要看一个表时，那就不要去分配所有表的读权限。只限制为一个表的权限，不要怕麻烦就给予所有表的读权限。
创建用户时一定要限制ip及设定足够强度的密码。
定期清理不需要的用户，及回收那些不需要的权限。

账号管理

创建账号

mysql文档里创建用户的语法如下：

CREATE USER [IF NOT EXISTS]
    user [auth_option] [, user [auth_option]] ...
    [REQUIRE {NONE | tls_option [[AND] tls_option] ...}]
    [WITH resource_option [resource_option] ...]
    [password_option | lock_option] ...

参数有点多，别急，慢慢来通过例子来看。首先用最少的选项创建一个账号。

# 创建一个无需密码即可本地登录的用户
mysql> CREATE USER 'u1'@'localhost';
Query OK, 0 rows affected
 
# 创建一个需要密码授权的用户，但不限制ip
mysql> CREATE USER 'u2'@'%' identified by '321232';
# 注意，密码必须使用引号，单引号或双引号都行，但不加就出错。
 
# 如果不想使用明文的密码，可以使用password
mysql> select password('111111');
+-------------------------------------------+
| password('111111')                        |
+-------------------------------------------+
| *FD571203974BA9AFE270FE62151AE967ECA5E0AA |
+-------------------------------------------+
1 row in set
mysql> CREATE USER 'u3'@'192.168.1.%' IDENTIFIED BY PASSWORD '*FD571203974BA9AFE270FE62151AE967ECA5E0AA';
Query OK, 0 rows affected

查看用户列表

系统用户列表是存放是mysql库里的user表。

mysql> SELECT user,host,account_locked FROM mysql.user;
+---------------+-------------+----------------+
| user | host | account_locked |
+---------------+-------------+----------------+
| root | localhost | N |
| mysql.session | localhost | Y |
| mysql.sys | localhost | Y |
| u1 | localhost | N |
| u2 | % | N |
| u2 | localhost | N |
| u3 | 192.168.1.% | N |
+---------------+-------------+----------------+
7 rows in set

删除用户

删除用户的语法如下：

1	`DROP` `USER` `用户名@ip;`

现在我们来删除u2@'%'

1 2	`mysql>` `drop` `user` `u2@'%';` `Query OK, 0` `rows` `affected`

这样u2用户就被删除了。

修改用户账号

语法如下：

1	`rename` `user` `old@'oldip'` `to` `new@'newip';`

案例如下：

1 2	`mysql> RENAME` `USER` `u1@localhost` `to` `user1@'127.0.0.1';` `Query OK, 0` `rows` `affected`

授权

学完了如何创建账号及管理账号后，我们来看看如何给用户授权以及如何回收不需要的权限。

用户授权

给用户授权语法如下：

1	`GRANT` `权限` `ON` `数据库名*表名` `TO` `用户名@ip;`

案例如下：

mysql> GRANT SELECT ON *.* TO 'u1'@'localhost' ; 
Query OK, 0 rows affected (0.00 sec) 
-- 全局级别授权   
mysql> GRANT ALL ON test.* TO 'u2'@'localhost'; 
Query OK, 0 rows affected (0.00 sec) 
-- 数据库级别授权   
mysql> GRANT ALL ON test.student TO 'u3'@'localhost' WITH GRANT OPTION; 
-- 表级别授权