【正文】 數(shù)據(jù)庫(kù)目錄的安全MySQL 服務(wù)器提供了一個(gè)通過 mysql 數(shù)據(jù)庫(kù)中的授權(quán)表，實(shí)現(xiàn)了一個(gè)十分靈活的權(quán)限系統(tǒng)，保證了從網(wǎng)絡(luò)訪問數(shù)據(jù)的安全性。 搞定。 在你的 windows 機(jī)器上安裝 SSH 客戶 我使用了一個(gè)來自 SSH 客戶。 不在客戶機(jī)的命令行上提供密碼使用 mysql、mysqladmin 等客戶機(jī)用一個(gè)用戶身份與 MySQL 服務(wù)器連接時(shí)，需要為連接提供密碼。mysqlDELETE FROM temp?？梢赃@樣竊取你的數(shù)據(jù)表 data：mysqlLOAD DATA INFILE “./other_db/” INTO TABLE tempFIELDS ESCAPED BY “” LINES TERMINATED BY “”。有這權(quán)限的任何用戶能在擁有 mysqld 守護(hù)進(jìn)程權(quán)限的文件系統(tǒng)那里寫一個(gè)文件！為了使這更安全一些，用 SELECT ... INTO OUTFILE 生成的所有文件對(duì)每個(gè)人是可讀的，并且你不能覆蓋已經(jīng)存在的文件。但是如果用戶 user1 帶有 ALTER 權(quán)限可能通過使用 ALTER TABLE 將 table2 重命名為table1 來打亂你的設(shè)想。原則上講，secure 選項(xiàng)對(duì) mysqld 應(yīng)該使主機(jī)名更安全。) WHERE user=39。一般地，建議你刪除匿名用戶記錄：mysql DELETE FROM user WHERE User=。在 Unix（Linux）上，在按照手冊(cè)的指令安裝好 MySQL 后，你必須運(yùn)行mysql_install_db 腳本建立包含授權(quán)表的 mysql 數(shù)據(jù)庫(kù)和初始權(quán)限。 總結(jié)本小節(jié)總結(jié)了權(quán)限修改后以及服務(wù)器和客戶機(jī)的權(quán)限生效的幾種情況，讀者要十分留意這些情況，這對(duì)你管理數(shù)據(jù)庫(kù)系統(tǒng)有重要影響。 總結(jié)本節(jié)介紹了如何修改一個(gè)用戶的密碼，你可以使用三種方法，GRANT 語(yǔ)句、SET PASSWORD 語(yǔ)句、直接修改授權(quán)表以及使用管理工具 mysqladmin。) where user=39。 WITH GRANT OPTION。skipgranttables39。除非你有其它有特權(quán)的用戶，否則很多操作都無(wú)法完成，例如，關(guān)閉數(shù)據(jù)庫(kù)等等。例如，如果你有一個(gè)條目其 User 和 Host 字段是39。用戶應(yīng)該以 userhostname 格式給出，這里 user 和 hostname 完全與他們列在 表?xiàng)l目的 User 和 Host 列一樣。) 設(shè)置當(dāng)前用戶的口令。在你使用登錄到一臺(tái) Unix 機(jī)器口令和你使用在那臺(tái)機(jī)器上存取一個(gè)數(shù)據(jù)庫(kù)的口令之間沒有必要有關(guān)聯(lián)。 總結(jié)本節(jié)介紹了如何撤銷用戶和授權(quán)，使用 REVOKE 語(yǔ)句只能撤銷授權(quán)，不能撤銷用戶，而直接修改授權(quán)表既可以撤銷授權(quán)，也可以撤銷用戶。你可以執(zhí)行一個(gè) mysqladmin flushprivileges 或 mysqladmin reload 命令和FLUSH PRIVILEGES 語(yǔ)句強(qiáng)迫一個(gè)重載。要想刪除整個(gè)用戶，必須直接將該用戶的記錄從 user 表中直接刪除。 使用 REVOKE 語(yǔ)句撤銷授權(quán)為了收回某個(gè)用戶的權(quán)限，可使用 REVOKE 語(yǔ)句。當(dāng)然，如果你沒有 GRANT 語(yǔ)句，你將沒有這些表，因?yàn)樗鼈冊(cè)?MySQL 中同時(shí)出現(xiàn)。包括授權(quán)給別人的能力：GRANT ALL ON *.* TO anynamelocalhost IDENTIFIED BY passwd WITH GRANT OPTION該語(yǔ)句將在 user 表中為 anynamelocalhost 創(chuàng)建一個(gè)記錄，打開所有權(quán)限，因?yàn)檫@里是超級(jí)用戶（全局）權(quán)限存儲(chǔ)的地方，要用 INSERT 語(yǔ)句做同樣的事情，語(yǔ)句是： INSERT INTO user VALUES(localhost,anyname,PASSWORD(passwd), Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y)你可能發(fā)現(xiàn)它不工作，這要看你的 MySQL 版本。WITH GRANT OPTION 子句給與用戶有授予其他用戶在指定的權(quán)限水平上的任何權(quán)限的能力。39。)。例如，如果 表指定一個(gè)用戶有一個(gè)全局 select 權(quán)限，它不能被數(shù)據(jù)庫(kù)、表或列的一個(gè)條目否認(rèn)。如果你指定 ON *并且你有一個(gè)當(dāng)前數(shù)據(jù)庫(kù)，你將為該數(shù)據(jù)庫(kù)設(shè)置權(quán)限。? columns 權(quán)限適用的列。28e89ebc62d6e19a39。 使用 SHOW GRANTS 語(yǔ)句顯示用戶的授權(quán)你可以直接查看授權(quán)表，也可以使用 SHOW GRANTS 語(yǔ)句查看某個(gè)用戶的授權(quán)，這種情況下使用 SHOW GRANTS 語(yǔ)句顯然要方便一些。 總結(jié)本節(jié)詳細(xì)敘述了 MySQL 權(quán)限系統(tǒng)的原理，包括 MySQL 存取證實(shí)的完整過程。 host 表能被用來維護(hù)一個(gè)“安全 ”服務(wù)器列表。如果結(jié)果允許請(qǐng)求的操作，存取被授權(quán)。 如果匹配的 db 表的條目的 Host 字段是空白的，它表示 host 表列舉主機(jī)應(yīng)該被允許存取數(shù)據(jù)庫(kù)的主機(jī)。（因?yàn)樗麄儾话?Shutdown_priv 行列，沒有這樣做的必要。 tables_priv 和 columns_priv 表在 Host、Db 和 User 字段上被排序。db 表在 Host、Db和 User 范圍字段上排序，并且 host 表在 Host 和 Db 范圍字段上排序。 在 host 表的一個(gè)39。對(duì)其他用戶，你應(yīng)該把在 user 表中的權(quán)限設(shè)成39。對(duì)在此連接上進(jìn)來的每個(gè)請(qǐng)求，服務(wù)器檢查你是否有足夠的權(quán)限來執(zhí)行它，它基于你希望執(zhí)行的操作類型。）這是另外一個(gè)例子。localhost39。IP 地址的匹配也是這樣的。 MySQL 服務(wù)器按一種特定方式排序符授權(quán)表中的記錄，然后通過按序?yàn)g覽記錄匹配到來的連接。 Gwen, 從 C 類子網(wǎng)的任何主機(jī)連接既然你能在 Host 字段使用 IP 通配符值( 例如，39。（這或許無(wú)用）39。%.39。%39。39。如果 user 表匹配到來的連接的條目有一個(gè)空白的用戶名，用戶被認(rèn)為是匿名用戶( 沒有名字的用戶) ，而非客戶實(shí)際指定的名字。localhost39。使用help 選項(xiàng)調(diào)用 mysqlaccess 查明它怎樣工作。 注意管理權(quán)限(reload, shutdown, 等等) 僅在 user 表中被指定。簡(jiǎn)單地說，服務(wù)器使用這樣的授權(quán)表： ? user 表范圍字段決定是否允許或拒絕到來的連接。 MySQL 在認(rèn)定身份中考慮你的主機(jī)名和用戶名字，是因?yàn)橛泻苄〉脑蚣俣ㄒ粋€(gè)給定的用戶在因特網(wǎng)上屬于同一個(gè)人。, 39。, 39。, 39。, 39。并且缺省值是 39。表 74 作用域列的大小寫敏感性列 大小寫敏感性Host NoUser YesPassword YesDb YesTable_name YesColumn_name No 授權(quán)表 User 、 Db 和 Host 的權(quán)限列的內(nèi)容在 user、db 和 host 表中，所有權(quán)限字段被聲明為 ENUM(39?；蚩瞻灼ヅ淙魏螖?shù)據(jù)庫(kù)。 155 / 29? Db在 columns_priv 和 tables_priv 表中，Db 值必須是真正的數(shù)據(jù)庫(kù)名（照字面上），不允許模式和空白。? User 用戶名必須是文字的或空白?？梢允褂?SQL 的模式字符“%”和“_”并具有當(dāng)你在一個(gè)查詢中使用 LIKE 算符同樣的含義（不允許 regex 算符）。這兩個(gè)表比其他三個(gè)表更新，這就是為什么它們使用更有效的表示方式的原因。你總是能看到或殺死你自己的線程。服務(wù)器確實(shí)較謹(jǐn)慎地保持在一定范圍內(nèi)使用該權(quán)限。 ? ALTER允許你使用 ALTER TABLE 語(yǔ)句，這其實(shí)是一個(gè)簡(jiǎn)單的第一級(jí)權(quán)限，你必須由其他權(quán)限，這看你想對(duì)數(shù)據(jù)庫(kù)實(shí)施什么操作。在 MySQL 啟動(dòng)時(shí)和在 權(quán)限修改何時(shí)生效所說的情況時(shí)，服務(wù)器讀入這些數(shù)據(jù)庫(kù)表內(nèi)容。如果你想執(zhí)行建議的記錄級(jí)鎖定，你可用 GET_LOCK()函數(shù)做到。在 user 表啟用的任何權(quán)限均是全局權(quán)限，并適用于所有數(shù)據(jù)庫(kù)。本節(jié)通過揭開其授權(quán)系統(tǒng)的運(yùn)作機(jī)制，希望大家能夠可以更好地操作和使用這個(gè)優(yōu)秀的數(shù)據(jù)庫(kù)系統(tǒng)。本文主要主要介紹如何建立一個(gè)安全的 MySQL 系統(tǒng)，從系統(tǒng)內(nèi)部和外部網(wǎng)絡(luò)兩個(gè)角度，為你提供一個(gè)指南。你必須設(shè)置 MySQL 授權(quán)表（grant table），使得他們不允許訪問服務(wù)器管理的數(shù)據(jù)庫(kù)內(nèi)容，除非提供有效的用戶名和口令。這些表位于 mysql 數(shù)據(jù)庫(kù)中，并在第一次安裝 MySQL 的過程中初始化（運(yùn)行 mysql_install_db腳本）。這個(gè)表不受 GRANT 和 REVOKE 語(yǔ)句的影響，所以，你可能發(fā)覺你根本不是用它。如果 你有較早版本的 MySQL，你的 mysql 數(shù)據(jù)庫(kù)將只有 user、db 和 host 表。mysql SELECT PI()*2。 管理權(quán)限下列權(quán)限運(yùn)用于控制服務(wù)器或用戶授權(quán)能力的操作的管理性操作。? GRANT允許你將你自己的權(quán)限授予別人，包括 GRANT。 在 user、db 和 host 表中，每一個(gè)權(quán)限以一個(gè)單獨(dú)的列指定。假如你的本地主機(jī)名是 并且在 user 表中有對(duì)你的兩條記錄，一個(gè)有一個(gè) Host 值或localhost，而另一個(gè)有 ，有 localhost 的記錄將只當(dāng)你連接 localhost 時(shí)匹配，其他在只在連接 時(shí)才匹配。一個(gè)空白的 Host 值等同于%。一個(gè)空口令不意味著匹配任何口令，它意味著用戶必須不指定口令。指定一個(gè)通配符。某些作用域列被服務(wù)器視為大小寫敏感的，其余不是。N39。Insert39。Drop39。Alter39。References39。References39?？茨闶欠裼凶銐虻臋?quán)限實(shí)施它。例如，如果你想要一個(gè)用戶能在你的網(wǎng)絡(luò)從若干主機(jī)使用一個(gè)數(shù)據(jù)庫(kù)，在用戶的 db 表的 Host 條目設(shè)為空值，然后將那些主機(jī)的每一個(gè)移入 host 表。 當(dāng) mysqld 服務(wù)器啟動(dòng)時(shí)，讀取一次授權(quán)表內(nèi)容。 你的身份基于 2 個(gè)信息： ? 你從那個(gè)主機(jī)連接 ? 你的 MySQL 用戶名 身份檢查使用 3 個(gè) user 表(Host, User 和 Password)范圍字段執(zhí)行。匹配任何主機(jī)名，一個(gè)空白 Host 值等價(jià)于39。 MySQL 不以任何人可以看的純文本格式存儲(chǔ)口令，相反，正在試圖聯(lián)接的一個(gè)用戶提供的口令被加密( 使用 PASSWORD()函數(shù))，并且與存儲(chǔ)了 user 表中的已經(jīng)加密的版本比較。 39。 39。 39。.%39。 一個(gè)到來的連接可以被在 user 表中的超過一個(gè)條目匹配。要牢記的是字面上的詞優(yōu)先于模式。有相同 Host 值的條目以最特定的 User 值為先的次序排列( 一個(gè)空白 User 值意味著“任何用戶”并且是最不特定的)。/39。jerry39。）user 表在一個(gè)全局基礎(chǔ)上授予賦予你的權(quán)限，該權(quán)限不管當(dāng)前的數(shù)據(jù)庫(kù)是什么均適用。 在 db 表的39。或空白 Db 值意味著“任何數(shù)據(jù)庫(kù)”。%39。）對(duì)管理請(qǐng)求(shutdown、reload 等等) ，服務(wù)器僅檢查 user 表?xiàng)l目，因?yàn)槟鞘俏ㄒ恢付ü芾頇?quán)限的表。Db 字段對(duì)應(yīng)用戶想要存取的數(shù)據(jù)庫(kù)。的權(quán)限的交集 (而不是并集！)計(jì)算。例如，如果你執(zhí)行一個(gè) INSERT ... SELECT 語(yǔ)句，你就都要 insert 和select 權(quán)限。)| %. | % | ... (所有權(quán)限設(shè)為 39。了解 MySQL 服務(wù)器用戶匹配的順序以及身份驗(yàn)證的過程，有利于你配置一個(gè)安全的系統(tǒng)。39。它能用在你想要?jiǎng)?chuàng)建一個(gè)沒有權(quán)限用戶的時(shí)候。 你能通過使用 ON *.*語(yǔ)法設(shè)置全局權(quán)限數(shù)據(jù)庫(kù)級(jí)別 數(shù)據(jù)庫(kù)權(quán)限作用于一個(gè)給定數(shù)據(jù)庫(kù)的所有表。這些權(quán)限存儲(chǔ)在 表中。testuser39。39。 警告：如果你創(chuàng)造一個(gè)新用戶但是不指定一個(gè) IDENTIFIED BY 子句，用戶沒有口令。你可以執(zhí)行一個(gè) mysqladmin flushprivileges 或 mysqladmin reload 命令和 FLUSH PRIVILEGES 語(yǔ)句強(qiáng)迫一個(gè)重載。mysql INSERT INTO db VALUES (localhost,sample_db,boris,Y,Y,Y,Y,Y,Y,N,Y,Y,Y)。GRANT 語(yǔ)句雖然能夠?yàn)橛脩舴峙錂?quán)限，使用比較方便，但是從安全角度，從增加對(duì)系統(tǒng)了解角度，你應(yīng)該盡量使用直接修改授權(quán)表的方法。用戶的項(xiàng)仍然保留在 user 表中，即使你去笑了改用戶的所有權(quán)限也是如此。但是，borislocalhost 用戶的條目仍舊留在 user 表中，你可以查看：mysqlSELECT * FROM 。+++| Host | User |+++| localhost | root || localhost | admin || % | root |+++DELETE 語(yǔ)句刪除該用戶的項(xiàng)， FLUSH 語(yǔ)句告訴服務(wù)器重新假造授權(quán)表（但是用GRANT 或 REVOKE 語(yǔ)句，而不是直接修改授權(quán)表時(shí)，這些表將自動(dòng)重新加載）。任何人可以試圖用任何名字連接服務(wù)器，而且如果他們指定了沒有口令的任何名字，他們將成功。例如，初始化授權(quán)表之后，root用戶的密碼就是空的，你可以這樣為 root 用戶設(shè)立密碼：shellmysqladmin u root password newpassword 使用語(yǔ)句 SET PASSWORD使用 mysqladmin 為用戶修改密碼有一個(gè)明顯的缺點(diǎn)，就是必須知道用戶原來的密碼，如果是為了給遺忘了密碼的用戶重設(shè)密碼就無(wú)能為力了。some password39。你將寫