MySQL管理员应该知道怎样通过指定哪些用户可连接到服务器从哪里进行连接以及在连接时做什么来设置MySQL用户账号MySQL引入了两个更容易进行这项工作的语句GRANT 语句创建MySQL用户并指定其权限REVOKE 语句删除权限这两个语句充当mysql数据库中的授权表的前端并提供直接操纵这些表内容的可选择的方法GRANT 和REVOKE 语句影响以下四个表
授权表 内容
user 可连接到服务器的用户和他们拥有的任何全局特权
db 数据库级的特权
tables _ priv 表级特权
c o l um n s _ priv 列级特权
还有第五个授权表( host)但它不受GRANT 或REVOKE的影响
当您为某个用户发布GRANT 语句时应在user表中为该用户创建一个项如果该语句指定了所有全局特权(管理权限或用于所有数据库的权限)则这些指定也被记录在user表中如果指定了数据库表或列的权限它们将记录在dbtables_priv 和columns_priv表中
使用GRANT 和REVOKE语句比直接修改授权表更容易但是建议您最好通过阅读第章来补充本章的内容第章中详细讨论了授权表这些表非常重要作为一位管理员应该了解这些表是怎样在GRANT 和REVOKE 语句级上工作的
本节下面的部分将讨论如何设置MySQL用户的账号和授权还将介绍如何取消权限以及从授权表中删除全部用户并且将考虑一个困扰许多新的MySQL管理员的难题
您还要考虑使用mysqlaccess 和mysql_setpermission 脚本它们是MySQL分发包的组成部分这些是Perl 的脚本它们提供了设置用户账号的GRANT 语句的代用品mysql_setpermission 需要具有DBI 的支持环境
创建新用户和授权
GRANT 语句的语法如下
GRANT privileges (columns)
ON what
TO user IDENTIFIEDBY password
WITH GRANT OPTION
要使用该语句需要填写以下部分
privileges 分配给用户的权限下表列出了可在GRANT 语句中使用的权限说明符
权限说明符权限允许的操作
上表显示的第一组权限说明符适用于数据库表和列第二组说明符是管理特权通常这些权限的授予相当保守因为它们会影响服务器的操作(例如 SHUTDOWN 特权不是按每天来分发的权限)第三组说明符是特殊的ALL的意思是所有的权限而USAGE 的意思是无权限─即创建用户但不授予任何的权限
columns 权限适用的列这是可选的只来设置列专有的权限如果命名多于一个列则用逗号分开
what 权限应用的级别权限可以是全局的(适用于所有数据库和所有的表)数据库专有的(适用于某个数据库中的所有表)或表专有的可以通过指定一个C O L U M N S子句将权限授予特定的列
user 使用权限的用户它由用户名和主机名组成在MySQL中不仅指定谁进行连接还要指定从哪里连接它允许您拥有两个带有相同名字的从不同位置连接的用户MySQL允许在它们之间进行区别并相互独立地分配权限
MySQL的用户名就是您在连接到服务器时指定的名字该名字与您的UNIX 注册名或Windows 名的没有必然连系缺省设置时客户机程序将使用您注册的名字作为MySQL的用户名(如果您不明确指定一个名字的话)但这只是一个约定有关将root作为可以操作一切MySQL的超级用户名也是这样就是一种约定您也可以在授权表中将此名修改成nobody然后作为nobody 用户进行连接以执行需要超级用户特权的操作
password 分配给该用户的口令这是可选的如果您不给新用户指定IDENTIFIEDBY子句该用户不分配口令(是非安全的)对于已有的用户任何指定的口令将替代旧口令如果不指定新口令用户的旧口令仍然保持不变当您确实要使用ID E N T I F I E DBY 时该口令串应该是直接量GRANT 将对口令进行编码当用SET PA S S W O R D语句时不要使用PASSWORD() 函数
WITH GRANT OPTION 子句是可选的如果包含该子句该用户可以将GRANT 语句授予的任何权限授予其他的用户可以使用该子句将授权的能力授予其他的用户
