用户和数据安全性
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第9章 用户和数据安全性
9.1 添加和删除用户 9.2 授予权限和回收权限 9.3 界面方式操作用户与权限 9.4 表维护语句
9.1 添加和删除用户
9.1.1 添加用户
可以使用CREATE USER语法添加一个或多个用户,并设置相应的密码。 语法格式:
CREATE USER user [IDENTIFIED BY [PASSWORD] 'password'] [, user [IDENTIFIED BY [PASSWORD] 'password']] ...
9.2.1 授予权限
其中,object_type:
TABLE | FUNCTION | PROCEDURE with_option : GRANT OPTION | MAX_QUERIES_PER_HOUR count | MAX_UPDATES_PER_HOUR count | MAX_CONNECTIONS_PER_HOUR count | MAX_USER_CONNECTIONS count
力。 EXECUTE ROUTINE:给予用户调用特定数据库的存储过程和存储函数的权力。 ● LOCK TABLES:给予用户锁定特定数据库的已有表的权力。 ● ALL或ALL PRIVILEGES:表示以上所有权限名。 在GRANT语法格式中,授予数据库权限时ON关键字后面跟“*”和“db_name.*”。 “*”表示当前数据库中的所有表;“db_name.*”表示某个数据库中的所有表。 【例9.8】 授予king在XSCJ数据库中的所有表的SELECT权限。
DROP USER TOM@localhost;
如果删除的用户已经创建了表、索引或其他的数据库对象,它们将继续保留,因为 MySQL并没有记录是谁创建了这些对象。
9.1.3 修改用户名
可以使用RENAME USER语句来修改一个已经存在的SQL用户的名字。 语法格式:
RENAME USER old_user wk.baidu.comO new_user, [, old_user TO new_user] ...
CREATE USER 'king'@'localhost' IDENTIFIED BY 'queen', 'palo'@'localhost' IDENTIFIED BY '530415';
9.1.1 添加用户
说明: 在用户名的后面声明了关键字localhost。这个关键字指定了用户创建的使用MySQL 的连接所来自的主机。如果一个用户名和主机名中包含特殊符号如“_”,或通配符如“%”, 则需要用单引号将其括起。“%”表示一组主机。 如果两个用户具有相同的用户名但主机不同,MySQL将其视为不同的用户,允许为这 两个用户分配不同的权限集合。 如果没有输入密码,那么MySQL允许相关的用户不使用密码登录。但是从安全的角度 并不推荐这种做法。 刚刚创建的用户还没有很多权限。它们可以登录到MySQL,但是它们不能使用USE语 句来让用户已经创建的任何数据库成为当前数据库,因此,它们无法访问那些数据库的表, 只允许进行不需要权限的操作,例如,用一条SHOW语句查询所有存储引擎和字符集的列 表。
9.2.1 授予权限
● ● ● ● ● ● ● ● ●
CREATE:给予用户使用CREATE TABLE语句在特定数据库中创建新表的权力。 ALTER:给予用户使用ALTER TABLE语句修改特定数据库中所有表的权力。 INDEX:给予用户在特定数据库中的所有表上定义和删除索引的权力。 DROP:给予用户删除特定数据库中所有表和视图的权力。 CREATE TEMPORARY TABLES:给予用户在特定数据库中创建临时表的权力。 CREATE VIEW:给予用户在特定数据库中创建新的视图的权力。 SHOW VIEW:给予用户查看特定数据库中已有视图的视图定义的权力。 CREATE ROUTINE:给予用户为特定的数据库创建存储过程和存储函数等权力。 ALTER ROUTINE:给予用户更新和删除数据库中已有的存储过程和存储函数等权
说明: 如果不加FOR user,表示修改当前用户的密码。加了FOR user则是修改当前主机上 的特定用户的密码,user为用户名。user的值必须以'user_name'@'host_name'的格 式给定。 【例9.4】 将用户king的密码修改为queen1。
SET PASSWORD FOR 'king'@'localhost' = PASSWORD('queen1');
● USE XSCJ; GRANT SELECT ON XS TO king@localhost;
说明: 这里假设是在ROOT用户中输入了这些语句,这样用户king就可以使用SELECT语句 来查询XS表,而不管是谁创建的这个表。 若在TO子句中给存在的用户指定密码,则新密码将原密码覆盖。如果权限授予了一 个不存在的用户,MySQL会自动执行一条CREATE USER语句来创建这个用户,但必须为 该用户指定密码。
9.2.1 授予权限
REFERENCES:给予用户创建一个外键来参照特定的表的权力。 ● CREATE:给予用户使用特定的名字创建一个表的权力。 ● ALTER:给予用户使用ALTER TABLE语句修改表的权力。 ● INDEX:给予用户在表上定义索引的权力。 ● DROP:给予用户删除表的权力。 ● ALL或ALL PRIVILEGES:表示所有权限名。 在授予表权限时,ON关键字后面跟tb1_name,tb1_name为表名或视图名。 【例9.5】 授予用户king在XS表上的SELECT权限。
说明:priv_type为权限的名称,如SELECT、UPDATE等,给不同的对象授予权限 priv_type的值也不相同。TO子句用来设定用户的密码。ON关键字后面给出的是要授予 权限的数据库或表名,下面将一一介绍。 (1)授予表权限和列权限 授予表权限时,priv_type可以是以下值: ● SELECT:给予用户使用SELECT语句访问特定的表的权力。用户也可以在一个视 图公式中包含表。然而,用户必须对视图公式中指定的每个表(或视图)都有SELECT权 限。 ● INSERT:给予用户使用INSERT语句向一个特定表中添加行的权力。 ● DELETE:给予用户使用DELETE语句向一个特定表中删除行的权力。 ● UPDATE:给予用户使用UPDATE语句修改特定表中值的权力。
9.2 授予权限和回收权限
9.2.1 授予权限
新的SQL用户不允许访问属于其他SQL用户的表,也不能立即创建自己的表,它必 须被授权。可以授予的权限有以下几组。 (1)列权限:和表中的一个具体列相关。例如,使用UPDATE语句更新表XS学号 列的值的权限。 (2)表权限:和一个具体表中的所有数据相关。例如,使用SELECT语句查询表XS 的所有数据的权限。 (3)数据库权限:和一个具体的数据库中的所有表相关。例如,在已有的XSCJ数 据库中创建新表的权限。 (4)用户权限:和MySQL所有的数据库相关。例如,删除已有的数据库或者创建 一个新的数据库的权限。 给某用户授予权限可以使用GRANT语句。使用SHOW GRANTS语句可以查看当前 账户拥有什么权限。 GRANT语法格式:
其中,user的格式为:
'user_name'@ 'host name'
说明: user_name为用户名,host_name为主机名,password为该用户的密码。在大多 数SQL产品中,用户名和密码只由字母和数字组成。 使用自选的IDENTIFIED BY子句,可以为账户给定一个密码。特别是要在纯文本中 指定密码,需忽略PASSWORD关键词。如果不想以明文发送密码,而且知道 PASSWORD()函数返回给密码的混编值,则可以指定该混编值,但要加关键字 PASSWORD。 CREATE USER用于创建新的MySQL账户。CREATE USER会在系统本身的mysql 数据库的user表中添加一个新记录。要使用CREATE USER,必须拥有mysql数据库的全 局CREATE USER权限或INSERT权限。如果账户已经存在,则出现错误。 【例9.1】 添加两个新的用户,king的密码为queen,palo的密码为530415。
对于列权限,priv_type的值只能取SELECT、INSERT和UPDATE。权限的后面需 要加上列名column_list。 【例9.7】 授予king在XS表上的学号列和姓名列的UPDATE权限。
GRANT UPDATE(姓名, 学号) ON XS TO king@localhost;
(2)授予数据库权限 表权限适用于一个特定的表。MySQL还支持针对整个数据库的权限。例如,在一个 特定的数据库中创建表和视图的权限。 授予数据库权限时,priv_type可以是以下值: ● SELECT:给予用户使用SELECT语句访问特定数据库中所有表和视图的权力。 ● INSERT:给予用户使用INSERT语句向特定数据库中所有表添加行的权力。 ● DELETE:给予用户使用DELETE语句删除特定数据库中所有表的行的权力。 ● UPDATE:给予用户使用UPDATE语句更新特定数据库中所有表的值的权力。 ● REFERENCES:给予用户创建指向特定的数据库中的表外键的权力。
9.1.2 删除用户
语法格式:
DROP USER user [, user_name] ...
DROP USER语句用于删除一个或多个MySQL账户,并取消其权限。要使用DROP USER,必须拥有mysql数据库的全局CREATE USER权限或DELETE权限。 【例9.2】 删除用户TOM。
说明: old_user为已经存在的SQL用户。new_user为新的SQL用户。 RENAME USER语句用于对原有MySQL账户进行重命名。要使用RENAME USER, 必须拥有全局CREATE USER权限或mysql数据库UPDATE权限。如果旧账户不存在或者 新账户已存在,则会出现错误。 【例9.3】 将用户king1和king2的名字分别修改为ken1和ken2。
9.2.1 授予权限
【例9.6】 用户liu和zhang不存在,授予它们在XS表上的SELECT和UPDATE权限。
GRANT SELECT,UPDATE ON XS TO liu@localhost IDENTIFIED BY 'LPWD', zhang@localhost IDENTIFIED BY 'ZPWD';
RENAME USER 'king1'@'localhost' TO ' ken1'@'localhost', 'king2'@'localhost' TO ' ken2'@'localhost';
9.1.4 修改密码
要修改某个用户的登录密码,可以使用SET PASSWORD语句。 语法格式:
SET PASSWORD [FOR user]= PASSWORD('newpassword')
● GRANT SELECT ON XSCJ.* TO king@localhost;
9.2.1 授予权限
说明: 这个权限适用于所有已有的表,以及此后添加到XSCJ数据库中的任何表。 【例9.9】 授予king在XSCJ数据库中所有的数据库权限。
USE XSCJ; GRANT ALL ON * TO king@localhost;
GRANT priv_type [(column_list)] [, priv_type [(column_list)]] ... ON [object_type] {tbl_name | * | *.* | db_name.*} TO user [IDENTIFIED BY [PASSWORD] 'password'] [, user [IDENTIFIED BY [PASSWORD] 'password']] ... [WITH with_option [with_option] ...]
9.1 添加和删除用户 9.2 授予权限和回收权限 9.3 界面方式操作用户与权限 9.4 表维护语句
9.1 添加和删除用户
9.1.1 添加用户
可以使用CREATE USER语法添加一个或多个用户,并设置相应的密码。 语法格式:
CREATE USER user [IDENTIFIED BY [PASSWORD] 'password'] [, user [IDENTIFIED BY [PASSWORD] 'password']] ...
9.2.1 授予权限
其中,object_type:
TABLE | FUNCTION | PROCEDURE with_option : GRANT OPTION | MAX_QUERIES_PER_HOUR count | MAX_UPDATES_PER_HOUR count | MAX_CONNECTIONS_PER_HOUR count | MAX_USER_CONNECTIONS count
力。 EXECUTE ROUTINE:给予用户调用特定数据库的存储过程和存储函数的权力。 ● LOCK TABLES:给予用户锁定特定数据库的已有表的权力。 ● ALL或ALL PRIVILEGES:表示以上所有权限名。 在GRANT语法格式中,授予数据库权限时ON关键字后面跟“*”和“db_name.*”。 “*”表示当前数据库中的所有表;“db_name.*”表示某个数据库中的所有表。 【例9.8】 授予king在XSCJ数据库中的所有表的SELECT权限。
DROP USER TOM@localhost;
如果删除的用户已经创建了表、索引或其他的数据库对象,它们将继续保留,因为 MySQL并没有记录是谁创建了这些对象。
9.1.3 修改用户名
可以使用RENAME USER语句来修改一个已经存在的SQL用户的名字。 语法格式:
RENAME USER old_user wk.baidu.comO new_user, [, old_user TO new_user] ...
CREATE USER 'king'@'localhost' IDENTIFIED BY 'queen', 'palo'@'localhost' IDENTIFIED BY '530415';
9.1.1 添加用户
说明: 在用户名的后面声明了关键字localhost。这个关键字指定了用户创建的使用MySQL 的连接所来自的主机。如果一个用户名和主机名中包含特殊符号如“_”,或通配符如“%”, 则需要用单引号将其括起。“%”表示一组主机。 如果两个用户具有相同的用户名但主机不同,MySQL将其视为不同的用户,允许为这 两个用户分配不同的权限集合。 如果没有输入密码,那么MySQL允许相关的用户不使用密码登录。但是从安全的角度 并不推荐这种做法。 刚刚创建的用户还没有很多权限。它们可以登录到MySQL,但是它们不能使用USE语 句来让用户已经创建的任何数据库成为当前数据库,因此,它们无法访问那些数据库的表, 只允许进行不需要权限的操作,例如,用一条SHOW语句查询所有存储引擎和字符集的列 表。
9.2.1 授予权限
● ● ● ● ● ● ● ● ●
CREATE:给予用户使用CREATE TABLE语句在特定数据库中创建新表的权力。 ALTER:给予用户使用ALTER TABLE语句修改特定数据库中所有表的权力。 INDEX:给予用户在特定数据库中的所有表上定义和删除索引的权力。 DROP:给予用户删除特定数据库中所有表和视图的权力。 CREATE TEMPORARY TABLES:给予用户在特定数据库中创建临时表的权力。 CREATE VIEW:给予用户在特定数据库中创建新的视图的权力。 SHOW VIEW:给予用户查看特定数据库中已有视图的视图定义的权力。 CREATE ROUTINE:给予用户为特定的数据库创建存储过程和存储函数等权力。 ALTER ROUTINE:给予用户更新和删除数据库中已有的存储过程和存储函数等权
说明: 如果不加FOR user,表示修改当前用户的密码。加了FOR user则是修改当前主机上 的特定用户的密码,user为用户名。user的值必须以'user_name'@'host_name'的格 式给定。 【例9.4】 将用户king的密码修改为queen1。
SET PASSWORD FOR 'king'@'localhost' = PASSWORD('queen1');
● USE XSCJ; GRANT SELECT ON XS TO king@localhost;
说明: 这里假设是在ROOT用户中输入了这些语句,这样用户king就可以使用SELECT语句 来查询XS表,而不管是谁创建的这个表。 若在TO子句中给存在的用户指定密码,则新密码将原密码覆盖。如果权限授予了一 个不存在的用户,MySQL会自动执行一条CREATE USER语句来创建这个用户,但必须为 该用户指定密码。
9.2.1 授予权限
REFERENCES:给予用户创建一个外键来参照特定的表的权力。 ● CREATE:给予用户使用特定的名字创建一个表的权力。 ● ALTER:给予用户使用ALTER TABLE语句修改表的权力。 ● INDEX:给予用户在表上定义索引的权力。 ● DROP:给予用户删除表的权力。 ● ALL或ALL PRIVILEGES:表示所有权限名。 在授予表权限时,ON关键字后面跟tb1_name,tb1_name为表名或视图名。 【例9.5】 授予用户king在XS表上的SELECT权限。
说明:priv_type为权限的名称,如SELECT、UPDATE等,给不同的对象授予权限 priv_type的值也不相同。TO子句用来设定用户的密码。ON关键字后面给出的是要授予 权限的数据库或表名,下面将一一介绍。 (1)授予表权限和列权限 授予表权限时,priv_type可以是以下值: ● SELECT:给予用户使用SELECT语句访问特定的表的权力。用户也可以在一个视 图公式中包含表。然而,用户必须对视图公式中指定的每个表(或视图)都有SELECT权 限。 ● INSERT:给予用户使用INSERT语句向一个特定表中添加行的权力。 ● DELETE:给予用户使用DELETE语句向一个特定表中删除行的权力。 ● UPDATE:给予用户使用UPDATE语句修改特定表中值的权力。
9.2 授予权限和回收权限
9.2.1 授予权限
新的SQL用户不允许访问属于其他SQL用户的表,也不能立即创建自己的表,它必 须被授权。可以授予的权限有以下几组。 (1)列权限:和表中的一个具体列相关。例如,使用UPDATE语句更新表XS学号 列的值的权限。 (2)表权限:和一个具体表中的所有数据相关。例如,使用SELECT语句查询表XS 的所有数据的权限。 (3)数据库权限:和一个具体的数据库中的所有表相关。例如,在已有的XSCJ数 据库中创建新表的权限。 (4)用户权限:和MySQL所有的数据库相关。例如,删除已有的数据库或者创建 一个新的数据库的权限。 给某用户授予权限可以使用GRANT语句。使用SHOW GRANTS语句可以查看当前 账户拥有什么权限。 GRANT语法格式:
其中,user的格式为:
'user_name'@ 'host name'
说明: user_name为用户名,host_name为主机名,password为该用户的密码。在大多 数SQL产品中,用户名和密码只由字母和数字组成。 使用自选的IDENTIFIED BY子句,可以为账户给定一个密码。特别是要在纯文本中 指定密码,需忽略PASSWORD关键词。如果不想以明文发送密码,而且知道 PASSWORD()函数返回给密码的混编值,则可以指定该混编值,但要加关键字 PASSWORD。 CREATE USER用于创建新的MySQL账户。CREATE USER会在系统本身的mysql 数据库的user表中添加一个新记录。要使用CREATE USER,必须拥有mysql数据库的全 局CREATE USER权限或INSERT权限。如果账户已经存在,则出现错误。 【例9.1】 添加两个新的用户,king的密码为queen,palo的密码为530415。
对于列权限,priv_type的值只能取SELECT、INSERT和UPDATE。权限的后面需 要加上列名column_list。 【例9.7】 授予king在XS表上的学号列和姓名列的UPDATE权限。
GRANT UPDATE(姓名, 学号) ON XS TO king@localhost;
(2)授予数据库权限 表权限适用于一个特定的表。MySQL还支持针对整个数据库的权限。例如,在一个 特定的数据库中创建表和视图的权限。 授予数据库权限时,priv_type可以是以下值: ● SELECT:给予用户使用SELECT语句访问特定数据库中所有表和视图的权力。 ● INSERT:给予用户使用INSERT语句向特定数据库中所有表添加行的权力。 ● DELETE:给予用户使用DELETE语句删除特定数据库中所有表的行的权力。 ● UPDATE:给予用户使用UPDATE语句更新特定数据库中所有表的值的权力。 ● REFERENCES:给予用户创建指向特定的数据库中的表外键的权力。
9.1.2 删除用户
语法格式:
DROP USER user [, user_name] ...
DROP USER语句用于删除一个或多个MySQL账户,并取消其权限。要使用DROP USER,必须拥有mysql数据库的全局CREATE USER权限或DELETE权限。 【例9.2】 删除用户TOM。
说明: old_user为已经存在的SQL用户。new_user为新的SQL用户。 RENAME USER语句用于对原有MySQL账户进行重命名。要使用RENAME USER, 必须拥有全局CREATE USER权限或mysql数据库UPDATE权限。如果旧账户不存在或者 新账户已存在,则会出现错误。 【例9.3】 将用户king1和king2的名字分别修改为ken1和ken2。
9.2.1 授予权限
【例9.6】 用户liu和zhang不存在,授予它们在XS表上的SELECT和UPDATE权限。
GRANT SELECT,UPDATE ON XS TO liu@localhost IDENTIFIED BY 'LPWD', zhang@localhost IDENTIFIED BY 'ZPWD';
RENAME USER 'king1'@'localhost' TO ' ken1'@'localhost', 'king2'@'localhost' TO ' ken2'@'localhost';
9.1.4 修改密码
要修改某个用户的登录密码,可以使用SET PASSWORD语句。 语法格式:
SET PASSWORD [FOR user]= PASSWORD('newpassword')
● GRANT SELECT ON XSCJ.* TO king@localhost;
9.2.1 授予权限
说明: 这个权限适用于所有已有的表,以及此后添加到XSCJ数据库中的任何表。 【例9.9】 授予king在XSCJ数据库中所有的数据库权限。
USE XSCJ; GRANT ALL ON * TO king@localhost;
GRANT priv_type [(column_list)] [, priv_type [(column_list)]] ... ON [object_type] {tbl_name | * | *.* | db_name.*} TO user [IDENTIFIED BY [PASSWORD] 'password'] [, user [IDENTIFIED BY [PASSWORD] 'password']] ... [WITH with_option [with_option] ...]