本文目录一览:
MySQL:grant 语法详解(MySQL5.X)
本文实例,运行于MySQL5.0及以上版本。 MySQL赋予用户权限命令的简单格式可概括为:
grant 权限 on 数据库对象 to 用户
一、grant 普通数据用户,查询、插入、更新、删除数据库中所有表数据的权利。
grant select on testdb.* to common_user@'%'
grant insert on testdb.* to common_user@'%'
grant update on testdb.* to common_user@'%'
grant delete on testdb.* to common_user@'%'
或者,用一条MySQL命令来替代:
grant select, insert, update, delete on testdb.* to common_user@'%'
二、grant 数据库开发人员,创建表、索引、视图、存储过程、函数等权限。
grant 创建、修改、删除 MySQL 数据表结构权限。
grant create on testdb.* to developer@'192.168.0.%';
grant alter on testdb.* to developer@'192.168.0.%';
grant drop on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 外键权限。
grant references on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 临时表权限。
grant create temporary tables on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 索引权限。
grant index on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 视图、查看视图源代码权限。
grant create view on testdb.* to developer@'192.168.0.%';
grant show view on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 存储过程、函数权限。
grant create routine on testdb.* to developer@'192.168.0.%';
-- now, can show procedure status
grant alter routine on testdb.* to developer@'192.168.0.%';
-- now, you can drop a procedure
grant execute on testdb.* to developer@'192.168.0.%';
三、grant 普通DBA 管理某个 MySQL 数据库的权限。
grant all privileges on testdb to dba@'localhost'
其中,关键字“privileges”可以省略。
四、grant 高级DBA 管理 MySQL 中所有数据库的权限。
grant all on *.* to dba@'localhost'
五、MySQL grant 权限,分别可以作用在多个层次上。
- grant 作用在整个 MySQL 服务器上:
grant select on *.* to dba@localhost; -- dba 可以查询 MySQL 中所有数据库中的表。 grant all on *.* to dba@localhost; -- dba 可以管理 MySQL 中的所有数据库 - grant 作用在单个数据库上:
grant select on testdb.* to dba@localhost; -- dba 可以查询testdb 中的表。 - grant 作用在单个数据表上:
grant select, insert, update, delete on testdb.orders to dba@localhost; - grant 作用在表中的列上:
grant select(id, se, rank) on testdb.apache_log to dba@localhost; - grant 作用在存储过程、函数上:
grant execute on procedure testdb.pr_add to 'dba'@'localhost' grant execute on function testdb.fn_add to 'dba'@'localhost'
六、查看 MySQL 用户权限
- 查看当前用户(自己)权限:
show grants; - 查看其他 MySQL 用户权限:
show grants for dba@localhost;
七、撤销已经赋予给 MySQL 用户权限的权限。
revoke 跟 grant 的语法差不多,只需要把关键字“to”换成“from”即可:
grant all on *.* to dba@localhost;
revoke all on *.* from dba@localhost;
八、MySQL grant、revoke 用户权限注意事项
- grant, revoke 用户权限后,该用户只有重新连接 MySQL 数据库,权限才能生效。
- 如果想让授权的用户,也可以将这些权限 grant 给其他用户,需要选项“grant option”
grant select on testdb.* to dba@localhost with grant option;
这个特性一般用不到。实际中,数据库权限最好由 DBA 来统一管理。
mysql grant 哪些权限
grant 权限 on 数据库对象 to 用户
一、grant 普通数据用户,查询、插入、更新、删除 数据库中所有表数据的权利。
grant select on testdb.* to common_user@’%’
grant insert on testdb.* to common_user@’%’
grant update on testdb.* to common_user@’%’
grant delete on testdb.* to common_user@'%'
或者:
grant select, insert, update, delete on testdb.* to common_user@’%’
二、grant 数据库开发人员,创建表、索引、视图、存储过程、函数等权限。
grant 创建、修改、删除 MySQL 数据表结构权限。
grant create on testdb.* to developer@’192.168.0.%’;
grant alter on testdb.* to developer@’192.168.0.%’;
grant drop on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 外键权限。
grant references on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 临时表权限。
grant create temporary tables on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 索引权限。
grant index on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 视图、查看视图源代码 权限。
grant create view on testdb.* to developer@’192.168.0.%’;
grant show view on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 存储过程、函数 权限。
grant create routine on testdb.* to developer@’192.168.0.%’; -- now, can show procedure status
grant alter routine on testdb.* to developer@’192.168.0.%’; -- now, you can drop a procedure
grant execute on testdb.* to developer@’192.168.0.%’;
三、grant 普通 DBA 管理某个 MySQL 数据库的权限。
grant all privileges on testdb to dba@’localhost’
其中,关键字 “privileges” 可以省略。
四、grant 高级 DBA 管理 MySQL 中所有数据库的权限。
grant all on *.* to dba@’localhost’
五、MySQL grant 权限,分别可以作用在多个层次上。
- grant 作用在整个 MySQL 服务器上:
grant select on *.* to dba@localhost; -- dba 可以查询 MySQL 中所有数据库中的表。 grant all on *.* to dba@localhost; -- dba 可以管理 MySQL 中的所有数据库 - grant 作用在单个数据库上:
grant select on testdb.* to dba@localhost; -- dba 可以查询 testdb 中的表。 - grant 作用在单个数据表上:
这里在给一个用户授权多张表时,可以多次执行以上语句。例如:grant select, insert, update, delete on testdb.orders to dba@localhost;grant select(user_id,username) on smp.users to mo_user@’%’ identified by ‘123345′; grant select on smp.mo_sms to mo_user@’%’ identified by ‘123345′; - grant 作用在表中的列上:
grant select(id, se, rank) on testdb.apache_log to dba@localhost; - grant 作用在存储过程、函数上:
grant execute on procedure testdb.pr_add to ‘dba’@'localhost’ grant execute on function testdb.fn_add to ‘dba’@'localhost’
六、查看 MySQL 用户权限
- 查看当前用户(自己)权限:
show grants; - 查看其他 MySQL 用户权限:
show grants for zhangkh@localhost;
七、撤销已经赋予给 MySQL 用户权限的权限。
revoke 跟 grant 的语法差不多,只需要把关键字 “to” 换成 “from” 即可:
grant all on *.* to dba@localhost;
revoke all on *.* from dba@localhost;
八、MySQL grant、revoke 用户权限注意事项
- grant, revoke 用户权限后,该用户只有重新连接 MySQL 数据库,权限才能生效。
- 如果想让授权的用户,也可以将这些权限 grant 给其他用户,需要选项 “grant option”
grant select on testdb.* to dba@localhost with grant option;
这个特性一般用不到。实际中,数据库权限最好由 DBA 来统一管理。 mysql授权表共有5个表:user、db、host、tables_priv和columns_priv。 授权表的内容有如下用途:
- user表 user表列出可以连接服务器的用户及其口令,并且它指定他们有哪种全局(超级用户)权限。在user表启用的任何权限均是全局权限,并适用于所有数据库。例如,如果你启用了DELETE权限,在这里列出的用户可以从任何表中删除记录,所以在你这样做之前要认真考虑。
- db表 db表列出数据库,而用户有权限访问它们。在这里指定的权限适用于一个数据库中的所有表。
- host表 host表与db表结合使用在一个较好层次上控制特定主机对数据库的访问权限,这可能比单独使用db好些。这个表不受GRANT和REVOKE语句的影响,所以,你可能发觉你根本不是用它。
- tables_priv表 tables_priv表指定表级权限,在这里指定的一个权限适用于一个表的所有列。
- columns_priv表 columns_priv表指定列级权限。这里指定的权限适用于一个表的特定列。
注:对于GRANT USAGE ON,查看手册有如下介绍和实例:
GRANT USAGE ON *.* TO ‘zhangkh’@'localhost’;
一个账户有用户名zhangkh,没有密码。该账户只用于从本机连接。未授予权限。通过GRANT语句中的USAGE权限,你可以创建账户而不授予任何权限。它可以将所有全局权限设为'N'。假定你将在以后将具体权限授予该账户。
mysql grant 权限是什么权限
本文转自:DBAplus社群 Mysql 有多个个权限?经常记不住,今天总结一下,看后都能牢牢的记在心里啦!! 很明显总共28个权限:下面是具体的权限介绍:转载的,记录一下:
一.权限表
mysql数据库中的3个权限表:user、db、host 权限表的存取过程是:
- 先从user表中的host、user、password这3个字段中判断连接的IP、用户名、密码是否存在表中,存在则通过身份验证;
- 通过权限验证,进行权限分配时,按照user→db→tables_priv→columns_priv的顺序进行分配。即先检查全局权限表user,如果user中对应的权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db, tables_priv,columns_priv;如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限;如果db中为N,则检查tables_priv中此数据库对应的具体表,取得表中的权限Y,以此类推。
二.MySQL各种权限(共27个)
(以下操作都是以root身份登陆进行grant授权,以p1@localhost身份登陆执行各种命令。)
- usage
连接(登陆)权限,建立一个用户,就会自动授予其usage权限(默认授予)。
该权限只能用于数据库登陆,不能执行任何操作;且usage权限不能被回收,也即REVOKE用户并不能删除用户。grant usage on *.* to ‘p1′@’localhost’ identified by ‘123′; - select
必须有select的权限,才可以使用select table
grant select on pyt.* to ‘p1′@’localhost’; select * from shop; - create
必须有create的权限,才可以使用create table
grant create on pyt.* to ‘p1′@’localhost’; - create routine
必须具有create routine的权限,才可以使用{create |alter|drop} {procedure|function}
当授予create routine时,自动授予EXECUTE, ALTER ROUTINE权限给它的创建者:grant create routine on pyt.* to ‘p1′@’localhost’;show grants for ‘p1′@’localhost’;+-----------------------------------------------------------+ Grants for p1@localhost +-----------------------------------------------------------+ | GRANT USAGE ON *.* TO ‘p1′@’localhost’ IDENTIFIED BY PASSWORD ‘*23AE809DDACAF96AF0FD78ED04B6A265E05AA257′ | | GRANT SELECT, CREATE, CREATE ROUTINE ON `pyt`.* TO ‘p1′@’localhost’| | GRANT EXECUTE, ALTER ROUTINE ON PROCEDURE `pyt`.`pro_shop1` TO ‘p1′@’localhost’ | +-----------------------------------------------------------+ - create temporary tables(注意这里是tables,不是table)
必须有create temporary tables的权限,才可以使用create temporary tables.
登录后执行:grant create temporary tables on pyt.* to ‘p1′@’localhost’;create temporary table tt1(id int); - create view
必须有create view的权限,才可以使用create view
grant create view on pyt.* to ‘p1′@’localhost’; create view v_shop as select price from shop; - create user
要使用CREATE USER,必须拥有mysql数据库的全局CREATE USER权限,或拥有INSERT权限。
或:grant create user on *.* to ‘p1′@’localhost’;grant insert on *.* to p1@localhost; - insert 必须有insert的权限,才可以使用insert into ..... values....
- alter
必须有alter的权限,才可以使用alter table
alter table shop modify dealer char(15); - alter routine
必须具有alter routine的权限,才可以使用{alter |drop} {procedure|function}
Query OK, 0 rows affected (0.00 sec)grant alter routine on pyt.* to ‘p1′@’ localhost ‘; drop procedure pro_shop;
登录后执行:revoke alter routine on pyt.* from ‘p1′@’localhost’;drop procedure pro_shop; ERROR 1370 (42000): alter routine command denied to user ‘p1′@’localhost’ for routine ‘pyt.pro_shop’ - update
必须有update的权限,才可以使用update table
update shop set price=3.5 where article=0001 and dealer=’A'; - delete 必须有delete的权限,才可以使用delete from ....where....(删除表中的记录)
- drop 必须有drop的权限,才可以使用drop database db_name; drop table tab_name; drop view vi_name; drop index in_name;
- show database
通过show database只能看到你拥有的某些权限的数据库,除非你拥有全局SHOW DATABASES权限。
对于p1@localhost用户来说,没有对mysql数据库的权限,所以以此身份登陆查询时,无法看到mysql数据库:
show databases;+------------------+ | Database | +------------------+ | information_schema| | pyt | | test | +------------------+ - show view
必须拥有show view权限,才能执行show create view。
grant show view on pyt.* to p1@localhost; show create view v_shop; - index
必须拥有index权限,才能执行[create |drop] index
grant index on pyt.* to p1@localhost; create index ix_shop on shop(article); drop index ix_shop on shop; - execute
执行存在的Functions,Procedures
call pro_shop1(0001,@a);+---------+ | article | +---------+ | 0001 | | 0001 | +---------+select @a;+------+ | @a | +------+ | 2 | +------+ - lock tables
必须拥有lock tables权限,才可以使用lock tables
grant lock tables on pyt.* to p1@localhost; lock tables a1 read; unlock tables; - references 有了REFERENCES权限,用户就可以将其它表的一个字段作为某一个表的外键约束。
- reload
必须拥有reload权限,才可以执行flush [tables | logs | privileges]
ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGESgrant reload on pyt.* to p1@localhost;grant reload on *.* to ‘p1′@’localhost’; flush tables; - replication client
拥有此权限可以查询master server、slave server状态。
ERROR 1227 (42000): Access denied; you need the SUPER,REPLICATION CLIENT privilege for this operationshow master status;
或:grant Replication client on *.* to p1@localhost;grant super on *.* to p1@localhost; show master status;+------------------+----------+--------------+------------------+ | File | Position | Binlog_Do_DB | Binlog_Ignore_DB | +------------------+----------+--------------+------------------+ | mysql-bin.000006 | 2111 | | | +------------------+----------+--------------+------------------+show slave status; - replication slave
拥有此权限可以查看从服务器,从主服务器读取二进制日志。
ERROR 1227 (42000): Access denied; you need the REPLICATION SLAVE privilege for this operationshow slave hosts;
ERROR 1227 (42000): Access denied; you need the REPLICATION SLAVE privilege for this operationshow binlog events;
Empty set (0.00 sec)grant replication slave on *.* to p1@localhost; show slave hosts;show binlog events;+-----------------+-----+-----------------+-----------+-------------+------------------+ | Log_name | Pos | Event_type | Server_id | End_log_pos | Info | +-----------------+-----+-----------------+-----------+-------------+------------------+ | mysql-bin.000005| 4 | Format_desc | 1 | 98 | Server ver: 5.0.77-log, Binlog ver: 4 | | mysql-bin.000005| 98 | Query | 1 | 197 | use `mysql`; create table a1(i int)engine=myisam | +-----------------+-----+-----------------+-----------+-------------+------------------+ - Shutdown
关闭MySQL:
重新连接:mysqladmin shutdown
ERROR 2002 (HY000): Can’t connect to local MySQL server through socket ‘/tmp/mysql.sock’ (2)mysqlcd /u01/mysql/bin ./mysqld_safe mysql - grant option
拥有grant option,就可以将自己拥有的权限授予其他用户(仅限于自己已经拥有的权限)
grant Grant option on pyt.* to p1@localhost; grant select on pyt.* to p2@localhost; - file
拥有file权限才可以执行 select ..into outfile和load data infile...操作,但是不要把file, process, super权限授予管理员以外的账号,这样存在严重的安全隐患。
grant file on *.* to p1@localhost; load data infile '/home/mysql/pet.txt' into table pet; - super
这个权限允许用户终止任何查询;修改全局变量的SET语句;使用CHANGE MASTER,PURGE MASTER LOGS。
grant super on *.* to p1@localhost; purge master logs before 'mysql-bin.000006'; - process
通过这个权限,用户可以执行SHOW PROCESSLIST和KILL命令。默认情况下,每个用户都可以执行SHOW PROCESSLIST命令,但是只能查询本用户的进程。
show processlist;+----+------+-----------+------+-----------+------+-------+------------------+ | Id | User | Host | db | Command | Time | State | Info | +----+------+-----------+------+-----------+------+-------+------------------+ | 12 | p1 | localhost | pyt | Query | 0 | NULL | show processlist | +----+------+-----------+------+-----------+------+-------+------------------+
另外,管理权限(如 super, process, file等)不能够指定某个数据库,on后面必须跟*.*
grant super on pyt.* to p1@localhost;
ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES
grant super on *.* to p1@localhost;
Query OK, 0 rows affected (0.01 sec)
MySQL的权限有哪些
MySQL各种权限(共27个) (以下操作都是以root身份登陆进行grant授权,以p1@localhost身份登陆执行各种命令。)
- usage
连接(登陆)权限,建立一个用户,就会自动授予其usage权限(默认授予)。
该权限只能用于数据库登陆,不能执行任何操作;且usage权限不能被回收,也即REVOKE用户并不能删除用户。grant usage on *.* to ‘p1′@’localhost’ identified by ‘123′; - select
必须有select的权限,才可以使用select table
grant select on pyt.* to ‘p1′@’localhost’; select * from shop; - create
必须有create的权限,才可以使用create table
grant create on pyt.* to ‘p1′@’localhost’; - create routine
必须具有create routine的权限,才可以使用{create |alter|drop} {procedure|function}
当授予create routine时,自动授予EXECUTE, ALTER ROUTINE权限给它的创建者:grant create routine on pyt.* to ‘p1′@’localhost’;show grants for ‘p1′@’localhost’;+-----------------------------------------------------------+ Grants for p1@localhost +-----------------------------------------------------------+ | GRANT USAGE ON *.* TO ‘p1′@’localhost’ IDENTIFIED BY PASSWORD ‘*23AE809DDACAF96AF0FD78ED04B6A265E05AA257′ | | GRANT SELECT, CREATE, CREATE ROUTINE ON `pyt`.* TO ‘p1′@’localhost’| | GRANT EXECUTE, ALTER ROUTINE ON PROCEDURE `pyt`.`pro_shop1` TO ‘p1′@’localhost’ | +-----------------------------------------------------------+ - create temporary tables(注意这里是tables,不是table)
必须有create temporary tables的权限,才可以使用create temporary tables.
登录后执行:grant create temporary tables on pyt.* to ‘p1′@’localhost’;create temporary table tt1(id int); - create view
必须有create view的权限,才可以使用create view
grant create view on pyt.* to ‘p1′@’localhost’; create view v_shop as select price from shop; - create user
要使用CREATE USER,必须拥有mysql数据库的全局CREATE USER权限,或拥有INSERT权限。
或:grant create user on *.* to ‘p1′@’localhost’;grant insert on *.* to p1@localhost; - insert 必须有insert的权限,才可以使用insert into ..... values....
- alter
必须有alter的权限,才可以使用alter table
alter table shop modify dealer char(15); - alter routine
必须具有alter routine的权限,才可以使用{alter |drop} {procedure|function}
Query OK, 0 rows affected (0.00 sec)grant alter routine on pyt.* to ‘p1′@’ localhost ‘; drop procedure pro_shop;
登录后执行:revoke alter routine on pyt.* from ‘p1′@’localhost’;
ERROR 1370 (42000): alter routine command denied to user ‘p1′@’localhost’ for routine ‘pyt.pro_shop’drop procedure pro_shop; - update
必须有update的权限,才可以使用update table
update shop set price=3.5 where article=0001 and dealer=’A'; - delete 必须有delete的权限,才可以使用delete from ....where....(删除表中的记录)
- drop 必须有drop的权限,才可以使用drop database db_name; drop table tab_name; drop view vi_name; drop index in_name;
- show database
通过show database只能看到你拥有的某些权限的数据库,除非你拥有全局SHOW DATABASES权限。
对于p1@localhost用户来说,没有对mysql数据库的权限,所以以此身份登陆查询时,无法看到mysql数据库:
show databases;+------------------+ | Database | +------------------+ | information_schema| | pyt | | test | +------------------+ - show view
必须拥有show view权限,才能执行show create view。
grant show view on pyt.* to p1@localhost; show create view v_shop; - index
必须拥有index权限,才能执行[create |drop] index
grant index on pyt.* to p1@localhost; create index ix_shop on shop(article); drop index ix_shop on shop; - execute
执行存在的Functions,Procedures
call pro_shop1(0001,@a);+---------+ | article | +---------+ | 0001 | | 0001 | +---------+select @a;+------+ | @a | +------+ | 2 | +------+ - lock tables
必须拥有lock tables权限,才可以使用lock tables
grant lock tables on pyt.* to p1@localhost; lock tables a1 read; unlock tables; - references 有了REFERENCES权限,用户就可以将其它表的一个字段作为某一个表的外键约束。
- reload
必须拥有reload权限,才可以执行flush [tables | logs | privileges]
ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGESgrant reload on pyt.* to p1@localhost;grant reload on *.* to ‘p1′@’localhost’; flush tables; - replication client
拥有此权限可以查询master server、slave server状态。
ERROR 1227 (42000): Access denied; you need the SUPER,REPLICATION CLIENT privilege for this operationshow master status;
或:grant Replication client on *.* to p1@localhost;grant super on *.* to p1@localhost; show master status;+------------------+----------+--------------+------------------+ | File | Position | Binlog_Do_DB | Binlog_Ignore_DB | +------------------+----------+--------------+------------------+ | mysql-bin.000006 | 2111 | | | +------------------+----------+--------------+------------------+show slave status; - replication slave
拥有此权限可以查看从服务器,从主服务器读取二进制日志。
ERROR 1227 (42000): Access denied; you need the REPLICATION SLAVE privilege for this operationshow slave hosts;
ERROR 1227 (42000): Access denied; you need the REPLICATION SLAVE privilege for this operationshow binlog events;grant replication slave on *.* to p1@localhost
