【正文】 ySQL 的系統(tǒng)管理員，你有責任維護你的 MySQL 數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)安全性和完整性。授權(quán)表共有 5 個表：user、db、host、tables_priv 和 columns_priv。如果你從老版本升級到 或更新，而沒有 tables_priv 和 columns_priv 表，運行mysql_fix_privileges_tables 腳本創(chuàng)建它們。? FILE允許你告訴服務器讀或?qū)懛掌髦鳈C上的文件。這些列全部聲明為一個 ENUM(N,Y)類型，所以每個權(quán)的缺省值是“N”。（例外：在 db 表中，一個空白 Host 值含義是“ 進一步檢查 host 表”，該過程在“查詢訪問驗證”中介紹。一個39?；?39。, 39。columns_priv Column_priv 39。例如，如果你從數(shù)據(jù)庫中一個表精選(select)行或從數(shù)據(jù)庫拋棄一個表，服務器確定你對表有 select 權(quán)限或?qū)?shù)據(jù)庫有 drop 權(quán)限。對授權(quán)表的更改生效在 權(quán)限修改何時生效。%39。39。Gwen39。例如，一個由 Gwen 從 的連接匹配多個條目如上所述。最終排序的 user 表看起來像這樣： +++| Host | User | ...+++159 / 29| localhost | root | ...| localhost | | ...| % | jerry | ...| % | root | ...+++當一個連接被嘗試時，服務器瀏覽排序的條目并使用找到的第一個匹配。作為 User 字段值的條目匹配，但是由沒有用戶名的題目匹配！ 如果你有服務器連接的問題，打印出 user 表并且手工排序它看看第一個匹配在哪兒進行。%39?；蚩瞻?Host 意味著“任何主機”。如果沒有 Host161 / 29和 User 的條目，存取被拒絕。你的權(quán)限必須如此以便 user 表條目授予一個權(quán)限而 db 表條目授予另一個。 設置用戶與并授權(quán)你可以有 2 個不同的方法增加用戶：通過使用 GRANT 語句或通過直接操作MySQL 授權(quán)表。對于表，你能指定的唯一 priv_type 值是SELECT、INSERT、UPDATE、DELETE 、CREATE、DROP、GRANT 、INDEX 和ALTER。你可以通過指定一個 columns 子句將權(quán)限授予特定的列，同時要在 ON 子句中指定具體的表。的條目到 表中來定義。如果你忘記做這個，你會疑惑為什么服務器不做你想做的事情。這樣可以更精確的控制授權(quán)，能夠?qū)κ跈?quán)表完全了解，避免因為GRANT 語句的錯誤，是 MySQL 服務器的安全性降低。+++| Host | User |+++| localhost | root || localhost | kite || localhost | admin || % | root |+++167 / 29 直接修改授權(quán)表撤銷用戶或授權(quán)顯而易見，可以直接在授權(quán)表中給用戶撤銷授權(quán)，有時，這是唯一的方法，如撤銷一個用戶。 ? MySQL 用戶名最長可以是 16 各字符；典型地，Unix 用戶名限制為 8 個字符。) 設置當前服務器主機上的一個特定用戶的口令。mysqlFLUSH PRIVILEGES。命令登錄到 mysqld server ，用 grant 命令改變口令：mysqlGRANT ALL ON *.* TO rootlocalhost INDENTIFIED BY 39。 。一般情況下，你可能不會犯這個錯誤，但是在安裝新的分發(fā), 初始授權(quán)表之后。在你運行它以前，你可以通過編輯 mysql_install_db 腳本改變所有用戶的口令，或僅僅 MySQL root 的口令，象這樣： shell mysql u root mysqlmysql UPDATE user SET Password=PASSWORD(39。 因為 ALTER 權(quán)限可能以你沒有設想的任何方法被使用。用此表讀取你要竊取的文件的內(nèi)容：mysqlLOAD DATA INFILE “/etc/passwd” INTO TABLE temp173 / 29FIELDS ESCAPED BY “” LINES TERMINATED BY “”。 MySQL 的其它安全問題數(shù)據(jù)庫系統(tǒng)的安全性包括很多方面。 啟動一些 ODBC 應用程序(例如 Access）。一般你可能用一個非特權(quán)的 Unix 用戶執(zhí)行守護程序。設置主機名字 = 你的 MySql 服務器名或 IP 地址，設置 userid=你的用戶名登錄到你的服務器。 MySQL 權(quán)限系統(tǒng)無法完成的任務有一些事情你不能用 MySQL 權(quán)限系統(tǒng)做到： ? 你不能明顯地指定一個給定用戶應該被拒絕存取。這可能被濫用，因為不僅有該服務器主機帳號的用戶可以讀取它們，而且有 FILE 權(quán)限的任何客戶機也可以通過網(wǎng)絡讀取它們。例如，對于用戶只需要檢索數(shù)據(jù)表的需求，賦予 SELECT 權(quán)限即可，不可賦予UPDATE、INSERT 等寫權(quán)限，不要怕被說成時吝嗇鬼。另外要給 root 用戶設置密碼。 授權(quán)原則無論怎么小心都難免在給用戶授權(quán)時留有漏洞，希望下面的內(nèi)容能給你一些幫助，你一般應該遵守這些規(guī)則。你可能使用工具 mysqladmin 修改密碼：shell mysqladmin h hostname u root password 39。 Unix 平臺：$su mysql$safe_mysqld skipgranttables amp。和39。another pass39。 設置密碼由 MySQL 使用用戶名和口令的方法與 Unix 或 Windows 使用的方式有很多不同之處： ? MySQL 使用于認證目的的用戶名，與 Unix 用戶名( 登錄名字 )或 Windows 用戶名無關(guān)。mysqlGRANT ALL ON sample.* TO kitelocalhost IDENTIFIED BY ruby。你設置 或 列來設置包含你想啟用的權(quán)限值。數(shù)據(jù)庫級權(quán)限用一個 ON db_name.*子句而不是 ON *.*進行授權(quán)： mysqlGRANT ALL ON sample.* TO borislocalhost IDENTIFIED BY ruby這些權(quán)限不是全局的，所以它們不存儲在 user 表中，我們?nèi)匀恍枰?user 表中創(chuàng)建一條記錄（使得用戶能連接），但我們也需要創(chuàng)建一個 db 表記錄記錄數(shù)據(jù)庫集的權(quán)限。例如，user%. 適用于在 域中任何主機的 user，并且 user.%適用于在 類 C 子網(wǎng)中任何主機的user。這些權(quán)限存儲在 表中。下小節(jié)會介紹如何使用 GRANT 語句授權(quán)。盡管你可以使用 GRANT 和 REVOKE 語句完成大部分的授權(quán)，但是只有了解授權(quán)表的結(jié)構(gòu)和內(nèi)容，你才能更好的控制系統(tǒng)，使你的系統(tǒng)更為安全。基于此結(jié)果允許或拒絕存取。如果條目允許請求的操作，存取被授權(quán)。 tables_priv 和 columns_priv 表授予表和列特定的權(quán)限。并且僅在一個特定數(shù)據(jù)庫的基礎上授權(quán)， 使用 db 和 host 表。 普遍的誤解是認為，對一個給定的用戶名，當服務器試圖對連接尋找匹配時，明確命名那個用戶的所有條目將首先被使用。user 表排序工作如下，假定 user 表看起來像這樣： +++| Host | User | ...+++| % | root | ...| % | jerry | ...| localhost | root | ...| localhost | | ...+++當服務器在表中讀取時，它以最特定的 Host 值為先的次序排列(39。匹配在一個子網(wǎng)上的每臺主機) ，有可能某人可能企圖探究這種能力，通過命名一臺主機為。Gwen39。Gwen39。 你可以在 Host 字段里使用通配符字符“%”和“_”。事實上，只需要請教 user 表來決定你是否執(zhí)行一個管理操作。 MySQL 通過允許你區(qū)分在不同的主機上碰巧有同樣名字用戶來處理它：你可以對從 連接授與 bill 一個權(quán)限集，而為從 的連接授予一個不同的權(quán)限集。, 39。, 39。,39。%39。如% 匹配任何 域內(nèi)的主機，而%.edu 匹配任何教育學院的主機。? RELOAD允許你執(zhí)行大量的服務器管理操作。 ? DROP允許你刪除（拋棄）數(shù)據(jù)庫和表，但不允許刪除索引。 ? columns_priv 表columns_priv 表指定列級權(quán)限。一般地，你可使用標準的 SQL 語句 GRANT 和 REVOKE 語句做，他們?yōu)槟阈薷目刂瓶蛻粼L問的授權(quán)表，然而，你可能由一個不支持這些語句的老版本的 MySQL（在 之前這些語句不起作用），或者你發(fā)覺用戶權(quán)限看起來不是以你想要的方式工作。如果數(shù)據(jù)目錄內(nèi) 容的權(quán)限過分授予，使得每個人均能簡單地替代對應于那些數(shù)據(jù)庫表的文件，那么確?？? 制客戶通過網(wǎng)絡訪問的授權(quán)表設置正確，對此毫無意義。在這里指定的權(quán)限適用于一個數(shù)據(jù)庫中的所有表。SELECT 語句只有在他們真正從一個表中檢索行是才需要 select 權(quán)限，你可以執(zhí)行某個 SELECT 語句，甚至沒有任何到服務器上的數(shù)據(jù)庫里的存取任何東西的許可。如果你授權(quán) FILE 權(quán)限，確保你不以 UNIX 的 root 用戶運行服務器，因為 root 可在文件系統(tǒng)的任何地方創(chuàng)建新文件。表 73 作用域列的類型字段名 類型Host CHAR(60)User CHAR(16)Password CHAR(16)Db CHAR(64) (tables_priv 和 columns_priv表為 CHAR(60))? Host 一個 Host 列值可以是一個主機名或一個 IP 地址。當一個到來的連接通過 user 表被驗證而匹配的記錄包含一個空白的 User 值，客戶被認為是一個匿名用戶。這些原則總結(jié)在下表中。Select39。Index39。Update39。權(quán)限字段決定允許哪個操作。 存取控制 , 階段 1：連接證實當你試圖聯(lián)接一個 MySQL 服務器時，服務器基于你的身份和你是否能通過供應正確的口令驗證身份來接受或拒絕連接。這不意味著匹配任何口令，它意味著用戶必須不指定一個口令進行連接。 Gwen, 從任何主機連接39。Gwen39。當服務器讀取 user 表內(nèi)容時，它根據(jù)在 Host 和 User 列中的值排序記錄，Host 值起決定作用（相同的 Host 值排在一起，然后再根據(jù) User 值排序）。（39。授權(quán)表用 GRANT 和 REVOKE 命令操作。 在兩個表中的一個39。（如果你熟悉存取檢查的源代碼，你會注意到這里的描述與在代碼使用的算法略有不同。如果有匹配，用戶數(shù)據(jù)庫特定的權(quán)限以在 db 和 host 表的條目的權(quán)限，即在兩個條目都是 39。假定你有一臺機器 ，它位于你不認為是安全的一個公共區(qū)域，你可以用下列的 host 表條目子允許除了那臺機器外的網(wǎng)絡上所有主機的存取： +++| Host | Db | ...+++| | % | ... (所有權(quán)限設為 39。其結(jié)果為創(chuàng)建該用戶的 GRNAT 授權(quán)語句：GRANT RELOAD, SHUTDOWN, PROCESS ON *.* TO 39。? what 權(quán)限應用的級別GRANT 允許系統(tǒng)主管在 4 個權(quán)限級別上授權(quán) MySQL 用戶的權(quán)利： 全局級別 全局權(quán)限作用于一個給定服務器上的所有數(shù)據(jù)庫。為了容納對任意主機的用戶授予的權(quán)利，MySQL 支持以 userhost 格式指定user_name 值。在 MySQL 或以后，如果創(chuàng)建一個新用戶或如果你有全局授予權(quán)限，用戶的口令將被設置為由 IDENTIFIED BY 子句指定的口令，如果給出一個。 下列 GRANT 語句也創(chuàng)建一個擁有超級用戶身份的用戶，但是只有一個單個的權(quán)限： GRANT RELOAD ON *.* TO flushlocalhost IDENTIFIED BY flushpass本例的 INSERT 語句比前一個簡單，它很容易列出列名并只指定一個權(quán)限列。Privileges 部分不需要匹配，你可用 GRANT 語句授權(quán)，然后用 REVOKE 語句取消啟動的一部分。mysqlFLUSH PRIVILEGES。 使用 myadmin 實用程序使用 mysqladmin 實用程序修改密碼的命令行是：shellmysqladmin u user p password newpassword運行這個命令，在提示輸入密碼時，數(shù)據(jù)就密碼，則用戶 user 的密碼就被改為newpassword。和39。 關(guān)閉 MySQL 服務器 向 mysqld server 發(fā)送 kill 命令關(guān)掉 mysqld server(不是 kill 9),存放進程 ID 的文件通常在 MYSQL 的數(shù)據(jù)庫所在的目錄中。 WITH GRANT OPTION。 被服務器立即應用的情況用 GRANT、REVOKE 或 SET PASSWORD 對授權(quán)表施行的修改會立即被服務器注意到。當你第一次在機器上安裝 MySQL 時，mysql 數(shù)據(jù)庫中的授權(quán)表