MySQL5.7之grant

GRANT
    priv_type [(column_list)]
      [, priv_type [(column_list)]] ...
    ON [object_type] priv_level
    TO user [auth_option] [, user [auth_option]] ...
    [REQUIRE {NONE | tls_option [[AND] tls_option] ...}]
    [WITH {GRANT OPTION | resource_option} ...]

GRANT PROXY ON user
    TO user [, user] ...
    [WITH GRANT OPTION]

object_type: {
    TABLE
  | FUNCTION
  | PROCEDURE
}

priv_level: {
    *
  | *.*
  | db_name.*
  | db_name.tbl_name
  | tbl_name
  | db_name.routine_name
}

user:
    (see Section 6.2.4, “Specifying Account Names”)

auth_option: {
    IDENTIFIED BY 'auth_string'
  | IDENTIFIED WITH auth_plugin
  | IDENTIFIED WITH auth_plugin BY 'auth_string'
  | IDENTIFIED WITH auth_plugin AS 'auth_string'
  | IDENTIFIED BY PASSWORD 'auth_string'
}

tls_option: {
    SSL
  | X509
  | CIPHER 'cipher'
  | ISSUER 'issuer'
  | SUBJECT 'subject'
}

resource_option: {
  | MAX_QUERIES_PER_HOUR count
  | MAX_UPDATES_PER_HOUR count
  | MAX_CONNECTIONS_PER_HOUR count
  | MAX_USER_CONNECTIONS count
}

• 一般概述

• 反对引用指引

• 由mysql支持的特权

• 帐户名称及密码

• 全球特权

• 数据库权限

• 表格特权

• 列权限

• 存储常规权限

• 代理用户权限

• 隐式账户创建

• 其他帐户特征

• 千年发展目标和标准SQL赠款版本

…GRANT 语句授予mysql用户帐户特权。

给予他们特权 GRANT ,你必须拥有 GRANT OPTION 你必须拥有你所授予的特权。(如果你有 UPDATE 资助表的特权mysql 系统数据库,您可以授予任何帐户任何特权.)当…… read_only 系统变量启用,GRANT 另外要求SUPER 特权。

…REVOKE 陈述与GRANT 并允许管理员删除帐户权限。看 第13.7.1.6节,"撤销声明" .

每个帐户名称使用的格式 第6.2.4节,"说明帐户名称" .例如:

GRANT ALL ON db1.* TO 'jeffrey'@'localhost';

如果省略,帐户的主机名称部分默认为 '%' .

通常,数据库管理员首先使用 CREATE USER 创建帐户并定义其非特权特性,如密码、是否使用安全连接以及对访问服务器资源的限制,然后使用 GRANT 定义它的特权。 ALTER USER 可以用来改变现有账户的非特权特征。例如:

CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'password';
GRANT ALL ON db1.* TO 'jeffrey'@'localhost';
GRANT SELECT ON db2.invoice TO 'jeffrey'@'localhost';
ALTER USER 'jeffrey'@'localhost' WITH MAX_QUERIES_PER_HOUR 90;

来自 Mysql 程序, GRANT 回答: Query OK, 0 rows affected 一旦成功执行。为了确定操作产生的权限,请使用SHOW GRANTS .看 第13.7.5.21节,"显示补助金报表" .

GRANT支持主机名称最多60个字符长。用户名最多可达32个字符。数据库、表、列和例程名称最多可达64个字符。

里面有几个物体GRANT 声明可以引用,但在许多情况下,引用是可选的:帐户、数据库、表、列和常规名称。例如,如果 user_name 或 host_name 帐户名中的值作为未引用的标识符是合法的,您不必引用它。但是,需要有引号来指定 user_name 包含特殊字符的字符串(例如- ),或 host_name 包含特殊字符或通配符的字符串% (例如,'test-user'@'%.com' )。分别引用用户名和主机名。

指定引用值:

关于字串引用和标识引用指南,请参阅 第9.1.1节,"字符串文字" ,以及 第9.2节,"模式对象名称" .

…_ 和% 在指定数据库名称时,允许使用通配符。 GRANT 授予数据库级权限的语句( )。例如,这意味着 字符作为数据库名称的一部分,请使用 逃跑性格 在…中 语句,防止用户访问与通配符模式相匹配的额外数据库(例如, ). GRANT ... ON db_name.*_\\_GRANTGRANT ... ON `foo\_bar`.* TO ...

发行倍数GRANT 包含通配符的语句可能不会对DML语句产生预期效果;在解析涉及通配符的授予时,mysql只考虑第一个匹配的授予。换句话说,如果用户使用与同一数据库相匹配的通配符拥有两个数据库级的授予,则首先创建的授予将被应用。考虑一下数据库 db 和餐桌t 使用这里所示的语句:

mysql> CREATE DATABASE db;
Query OK, 1 row affected (0.01 sec)

mysql> CREATE TABLE db.t (c INT);
Query OK, 0 rows affected (0.01 sec)

mysql> INSERT INTO db.t VALUES ROW(1);
Query OK, 1 row affected (0.00 sec)

接下来(假设经常账户是mysql) root 拥有必要权限的帐户),我们创建一个用户u 接下来是第二次GRANT 包含通配符的语句,如:

mysql> CREATE USER u;
Query OK, 0 rows affected (0.01 sec)

mysql> GRANT SELECT ON `d_`.* TO u;
Query OK, 0 rows affected (0.01 sec)

mysql> GRANT INSERT ON `d%`.* TO u;
Query OK, 0 rows affected (0.00 sec)

mysql> EXIT

Bye

如果我们结束了会话然后再次登录 Mysql 客户,这次是 U ,我们看到这个帐户只拥有第一批对等拨款所提供的特权,但没有第二批:

$> mysql -uu -hlocalhost

Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 10
Server version: 5.7.46-tr Source distribution

Copyright (c) 2000, 2023, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input
statement.

mysql> TABLE db.t;
+------+
| c    |
+------+
|    1 |
+------+
1 row in set (0.00 sec)

mysql> INSERT INTO db.t VALUES ROW(2);
ERROR 1142 (42000): INSERT command denied to user 'u'@'localhost' for table 't'

当一个数据库名不用于授予数据库级的特权,而是作为授予某些其他对象(例如表或例程)特权的限定符时(例如, ),mysql将通配符解释为文字字符。 GRANT ... ON db_name.tbl_name

下表概述了允许的 priv_type 可为GRANT 和 REVOKE 以及每个特权的级别。有关每个特权的其他信息,请参阅 第6.2.2节,"mysql提供的特权" .

触发器与表关联。要创造或放下一个触发器,你必须拥有 TRIGGER 为了桌子的特权,不是触发器。

在…中GRANT 声明, ALL [PRIVILEGES] 或PROXY 特权必须单独命名,不能与其他特权一起指定。 ALL [PRIVILEGES] 所列所有特权的级别,除了 GRANT OPTION 和 PROXY 特权。

USAGE 可以指定创建没有权限的用户,或指定 REQUIRE 或WITH 一个帐户的条款没有改变它的现有特权。(不过,使用GRANT 定义非特权特征是被反对的。

Mysql帐户信息存储在《经济、社会、文化权利国际公约》的表格中。 mysql 系统数据库。详情请参阅 第6.2节,"出入控制和帐户管理" ,讨论mysql 系统数据库和访问控制系统广泛.

如果授予表持有包含混合情况数据库或表名称的特权行,以及 lower_case_table_names 系统变量设置为非零值, REVOKE 不能用来撤销这些特权。有必要直接操作授予表。(GRANT 不创建这样的行 lower_case_table_names 已设置,但这些行可能是在设置变量之前创建的。)

特权可以在多个级别授予,这取决于用于ON 条款。用于 REVOKE ,一样 ON 语法指定要删除哪些特权。

对于全球数据库表格和日常级别, GRANT ALL 只分配在您授予的级别上存在的特权。例如, 是一个数据库级语句,因此它不授予任何全球性的权限,例如 .授予 不指定 或 特权。 GRANT ALL ON db_name.*FILEALLGRANT OPTIONPROXY

…object_type 如果有条款,应规定为:TABLE , FUNCTION ,或PROCEDURE 当下列对象是表、存储函数或存储过程时.

用户为数据库、表、列或例程持有的权限作为逻辑的附加形式形成。 OR 每个权限级别的帐户特权,包括全局级别。不可能由于在较低一级没有这种特权而拒绝给予较高级别的特权。例如,这份声明同意 SELECT 和 INSERT 全球特权:

GRANT SELECT, INSERT ON *.* TO u1;

全局授予的权限适用于所有数据库、表和列,即使不是在较低级别授予的权限。

特权审核程序详情载于 第6.2.6节,"出入控制,第2阶段:请求核查" .

如果您甚至为一个用户使用表、列或例程权限,则服务器检查所有用户的表、列和例程权限,这稍微减缓了mysql的速度。同样,如果您为任何用户限制查询、更新或连接的数量,则服务器必须监控这些值。

Mysql使您能够在不存在的数据库或表上授予特权。对于表格,授予的特权必须包括CREATE 特权。 这种行为是设计的 ,目的是使数据库管理员能够为以后创建的数据库或表准备用户帐户和权限。

Auser 价值a GRANT 语句表示该语句所适用的mysql帐户。为了容纳来自任意主机的用户权限,mysql支持指定user 表中的价值 . 'user_name'@'host_name'

您可以在主机名中指定通配符。例如, 适用于 为任何一个 领域,和 适用于 为任何一个 C类子网。 'user_name'@'%.example.com'user_nameexample.com'user_name'@'198.51.100.%'user_name198.51.100

简单的形式 是一个同义词 . 'user_name''user_name'@'%'

Mysql不支持用户名中的通配符 .若要查询匿名用户,请指定一个帐户,帐户上有一个空的用户名。 GRANT 声明:

GRANT ALL ON test.* TO ''@'localhost' ...;

在这种情况下,允许从本地主机连接到匿名用户正确密码的任何用户访问与匿名用户帐户相关的权限。

有关帐户名称中的用户名和主机名值的其他信息,请参阅 第6.2.4节,"说明帐户名称" .

SELECT Host, User FROM mysql.user WHERE User='';

DROP USER ''@'localhost';

为了GRANT 允许auth_option 遵循A的价值 user 价值, auth_option 始于 IDENTIFIED 并通过指定帐户身份验证插件、凭证(例如密码)或两者,指示帐户如何进行身份验证。的语法 auth_option 条款是相同的CREATE USER 声明。详情请参阅 第13.7.1.2节,"创建用户声明" .

何时IDENTIFIED 你拥有全球赠款特权(GRANT OPTION ),任何指定的密码都会成为该帐户的新密码,即使该帐户存在并且已经有密码。没有IDENTIFIED ,帐户密码不变。

全局权限是管理的或适用于给定服务器上的所有数据库。分配全局权限,使用 ON *.* 语法:

GRANT ALL ON *.* TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON *.* TO 'someuser'@'somehost';

…CREATE TABLESPACE , CREATE USER , FILE , PROCESS , RELOAD , REPLICATION CLIENT , REPLICATION SLAVE , SHOW DATABASES , SHUTDOWN ,以及 SUPER 特权是行政性的,只能在全球范围内授予。

其他特权可在全球范围或更具体的级别授予。

GRANT OPTION在全球一级授予任何全球特权适用于所有全球特权。

Mysql在 mysql.user 系统表。

数据库权限适用于给定数据库中的所有对象.分配数据库级权限,使用 语法: ON db_name.*

GRANT ALL ON mydb.* TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON mydb.* TO 'someuser'@'somehost';

如果你用ON * 语法(而不是 ON *.* ),在数据库一级为默认数据库分配权限。如果没有默认数据库,就会发生错误.

…CREATE , DROP , EVENT , GRANT OPTION , LOCK TABLES ,以及 REFERENCES 权限可以在数据库级别上指定。表或例程的权限也可以在数据库一级指定,在这种情况下,它们适用于数据库中的所有表或例程。

Mysql在 mysql.db 系统表。

表权限适用于给定表中的所有列。分配表级权限,使用 语法: ON db_name.tbl_name

GRANT ALL ON mydb.mytbl TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON mydb.mytbl TO 'someuser'@'somehost';

如果你指定tbl_name 与其说 db_name.tbl_name ,该声明适用于tbl_name 在默认数据库中。如果没有默认数据库,就会发生错误.

允许的priv_type 表一级的数值ALTER , CREATE VIEW , CREATE , DELETE , DROP , GRANT OPTION , INDEX , INSERT , REFERENCES , SELECT , SHOW VIEW , TRIGGER ,以及 UPDATE .

表级权限适用于基表和视图。它们不适用于使用CREATE TEMPORARY TABLE ,即使表格名称匹配。有关TEMPORARY 表上特权,见 第13.1.18.2节,"创建临时表格说明" .

Mysql在 mysql.tables_priv 系统表。

列权限适用于给定表中的单个列。在列级别授予的每一个权限必须后面是括号内的列或列。

GRANT SELECT (col1), INSERT (col1, col2) ON mydb.mytbl TO 'someuser'@'somehost';

允许的priv_type 列的值(即当您使用 column_list 条款) INSERT , REFERENCES , SELECT ,以及 UPDATE .

Mysql在 mysql.columns_priv 系统表。

…ALTER ROUTINE , CREATE ROUTINE , EXECUTE ,以及 GRANT OPTION 特权适用于存储例程(过程和函数)。它们可以在全球和数据库两级授予。除了 CREATE ROUTINE ,这些特权可在例行程序级别授予个别例行程序。

GRANT CREATE ROUTINE ON mydb.* TO 'someuser'@'somehost';
GRANT EXECUTE ON PROCEDURE mydb.myproc TO 'someuser'@'somehost';

允许的priv_type 常规级别的价值观是ALTER ROUTINE ,EXECUTE ,以及 GRANT OPTION . CREATE ROUTINE 不是常规级的特权,因为您必须在全局级或数据库级拥有创建例程的特权。

Mysql在 mysql.procs_priv 系统表。

…PROXY 特权使一个用户能够成为另一个用户的代理。代理用户模拟或获取被代理用户的身份;也就是说,它承担被代理用户的特权。

GRANT PROXY ON 'localuser'@'localhost' TO 'externaluser'@'somehost';

何时PROXY 是被授予的,它必须是唯一的特权 GRANT 声明, REQUIRE 无法给出条款,唯一允许的WITH 选择是WITH GRANT OPTION .

代理请求代理用户通过一个插件进行身份验证,该插件在代理用户连接时将被代理用户的名称返回到服务器,并且代理用户拥有 PROXY 代理用户的特权。详情及例子,请参阅 第6.2.14节,"代理用户" .

Mysql在 mysql.proxies_priv 系统表。

如果一个账户的名字GRANT 声明并不存在,所采取的行动取决于 NO_AUTO_CREATE_USER sql模式:

如果帐户已经存在,IDENTIFIED WITH 禁止使用,因为它只用于创建新帐户。

除了基于用户名和凭证的通常身份验证之外,Mysql还可以检查X.509证书属性。有关在mysql中使用SSL的背景信息,请参阅 第6.3节,"使用加密连接" .

可选择的REQUIRE 条款为mysql帐户指定了与SSL相关的选项。它的语法和CREATE USER 声明。详情请参阅 第13.7.1.2节,"创建用户声明" .

可选择的WITH 这些条款用于这些目的:

…WITH GRANT OPTION 条款赋予用户在指定权限级别上向其他用户提供任何特权的能力。

给予GRANT OPTION 在不改变帐户特权的情况下,可以这样做:

GRANT USAGE ON *.* TO 'someuser'@'somehost' WITH GRANT OPTION;

小心你给谁GRANT OPTION 因为两个拥有不同权限的用户可以合并权限!

你不能授予另一个用户你自己没有的特权;GRANT OPTION 特权使你能只分配你自己拥有的特权。

请注意,当您授予用户 GRANT OPTION 在特定的权限级别上,用户在该级别上拥有(或将来可能给予)的任何权限也可以由该用户授予其他用户。假设你给一个用户INSERT 数据库上的特权。如果你同意 SELECT 数据库上的特权并指定WITH GRANT OPTION ,该用户不但可以向其他用户提供 SELECT 特权,但也 INSERT .如果你同意 UPDATE 对数据库中的用户有特权,用户可以授予 INSERT , SELECT ,以及 UPDATE .

对于非管理性用户,您不应该授予 ALTER 全球范围的特权或mysql 系统数据库。如果您这样做,用户可以尝试通过重新命名表来破坏特权系统!

有关与特定特权相关的安全风险的更多信息,请参阅 第6.2.2节,"mysql提供的特权" .

可以通过一个帐户对服务器资源的使用设置限制,如以下所述: 第6.2.16节,"规定帐户资源限额" .为此,请使用WITH 指定一个或多个的条款resource_option 价值观。未指定的限额保留其当前值。它的语法和CREATE USER 声明。详情请参阅 第13.7.1.2节,"创建用户声明" .

mysql和标准SQL版本之间的最大差异GRANT 是: