GRANT USAGE ON *.* TO 'discuz'@'localhost' IDENTIFIED BY PASSWORD '*C242DDD213BE9C6F8DA28D49245BF69FC79A86EB';
GRANT ALL PRIVILEGES ON `discuz`.* TO 'discuz'@'localhost';
我先按我的理解解釋一下上面兩句的意思
建立一個只可以在本地登陸的 不能操作的用用戶名 discuz 密碼爲 ***** 已經加密了的
然後第二句的意思是 ,給這個discuz用戶操作discuz數據庫的所有權限
使用GRANT
GRANT命令用來建立新用戶,指定用戶口令並增加用戶權限。其格式如下:
mysql> GRANT <privileges> ON <what>
-> TO <user> [IDENTIFIED BY "<password>"]
-> [WITH GRANT OPTION];
正如你看到的,在這個命令中有許多待填的內容。讓我們逐一地對它們進行介紹,並最終給出一些例子以讓你對它們的協同工作有一個瞭解。
<privileges>是一個用逗號分隔的你想要賦予的權限的列表。你可以指定的權限可以分爲三種類型:
數據庫/數據表/數據列權限: Alter: 修改已存在的數據表(例如增加/刪除列)和索引。
Create: 建立新的數據庫或數據表。
Delete: 刪除表的記錄。
Drop: 刪除數據表或數據庫。
INDEX: 建立或刪除索引。
Insert: 增加表的記錄。
Select: 顯示/搜索表的記錄。
Update: 修改表中已存在的記錄。
全局管理權限:
file: 在MySQL服務器上讀寫文件。
PROCESS: 顯示或殺死屬於其它用戶的服務線程。
RELOAD: 重載訪問控制表,刷新日誌等。
SHUTDOWN: 關閉MySQL服務。
特別的權限:
ALL: 允許做任何事(和root一樣)。
USAGE: 只允許登錄--其它什麼也不允許做。
這些權限所涉及到的MySQL的特徵,其中的一些我們至今還沒看到,而其中的絕大部分是你所熟悉的。
<what> 定義了這些權限所作用的區域。*.*意味着權限對所有數據庫和數據表有效。dbName.*意味着對名爲dbName的數據庫中的所有數據表有效。dbName.tblName意味着僅對名爲dbName中的名爲tblName的數據表有效。你甚至還可以通過在賦予的權限後面使用圓括號中的數據列的列表以指定權限僅對這些列有效(在後面我們將看到這樣的例子)。
<user>指定可以應用這些權限的用戶。在MySQL中,一個用戶通過它登錄的用戶名和用戶使用的計算機的主機名/IP地址來指定。這兩個值都可以使用%通配符(例如kevin@%將允許使用用戶名kevin從任何機器上登錄以享有你指定的權限)。
<password>指定了用戶連接MySQL服務所用的口令。它被用方括號括起,說明IDENTIFIED BY "<password>"在GRANT命令中是可選項。這裏指定的口令會取代用戶原來的密碼。如果沒有爲一個新用戶指定口令,當他進行連接時就不需要口令。
這個命令中可選的WITH GRANT OPTION部分指定了用戶可以使用GRANT/REVOKE命令將他擁有的權限賦予其他用戶。請小心使用這項功能--雖然這個問題可能不是那麼明顯!例如,兩個都擁有這個功能的用戶可能會相互共享他們的權限,這也許不是你當初想看到的。
讓我們來看兩個例子。建立一個名爲dbmanager的用戶,他可以使用口令managedb從server.host.net連接MySQL,並僅僅可以訪問名爲db的數據庫的全部內容(並可以將此權限賦予其他用戶),這可以使用下面的GRANT命令:
mysql> GRANT ALL ON db.*
-> TO [email protected]
-> IDENTIFIED BY "managedb"
-> WITH GRANT OPTION;
現在改變這個用戶的口令爲funkychicken,命令格式如下:
mysql> GRANT USAGE ON *.*
-> TO [email protected]
-> IDENTIFIED BY "funkychicken";
請注意我們沒有賦予任何另外的權限(the USAGE權限只能允許用戶登錄),但是用戶已經存在的權限不會被改變。
現在讓我們建立一個新的名爲jessica的用戶,他可以從host.net域的任意機器連接到MySQL。他可以更新數據庫中用戶的姓名和email地址,但是不需要查閱其它數據庫的信息。也就是說他對db數據庫具有隻讀的權限(例如,Select),但是他可以對Users表的name列和email列執行Update操作。命令如下:
mysql> GRANT Select ON db.*
-> TO jessica@%.host.net
-> IDENTIFIED BY "jessrules";
mysql> GRANT Update (name,email) ON db.Users
-> TO jessica@%.host.net;
請注意在第一個命令中我們在指定Jessica可以用來連接的主機名時使用了%(通配符)符號。此外,我們也沒有給他向其他用戶傳遞他的權限的能力,因爲我們在命令的最後沒有帶上WITH GRANT OPTION。第二個命令示範瞭如何通過在賦予的權限後面的圓括號中用逗號分隔的列的列表對特定的數據列賦予權限。
mysql中可以給你一個用戶授予如select,insert,update,delete等其中的一個或者多個權限,主要使用grant命令,用法格式爲:
grant 權限 on 數據庫對象 to 用戶
一、grant 普通數據用戶,查詢、插入、更新、刪除 數據庫中所有表數據的權利。
grant select on testdb.* to common_user@'%'
grant insert on testdb.* to common_user@'%'
grant update on testdb.* to common_user@'%'
grant delete on testdb.* to common_user@'%'
或者,用一條 MySQL 命令來替代:
grant select, insert, update, delete on testdb.* to common_user@'%'
二、grant 數據庫開發人員,創建表、索引、視圖、存儲過程、函數。。。等權限。
grant 創建、修改、刪除 MySQL 數據表結構權限。
grant create on testdb.* to developer@'192.168.0.%';
grant alter on testdb.* to developer@'192.168.0.%';
grant drop on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 外鍵權限。
grant references on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 臨時表權限。
grant create temporary tables on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 索引權限。
grant index on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 視圖、查看視圖源代碼 權限。
grant create view on testdb.* to developer@'192.168.0.%';
grant show view on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 存儲過程、函數 權限。
grant create routine on testdb.* to developer@'192.168.0.%'; -- now, can show procedure status
grant alter routine on testdb.* to developer@'192.168.0.%'; -- now, you can drop a procedure
grant execute on testdb.* to developer@'192.168.0.%';
三、grant 普通 DBA 管理某個 MySQL 數據庫的權限。
grant all privileges on testdb to dba@'localhost'
其中,關鍵字 "privileges" 可以省略。
四、grant 高級 DBA 管理 MySQL 中所有數據庫的權限。
grant all on *.* to dba@'localhost'
五、MySQL grant 權限,分別可以作用在多個層次上。
1. grant 作用在整個 MySQL 服務器上:
grant select on *.* to dba@localhost; -- dba 可以查詢 MySQL 中所有數據庫中的表。
grant all on *.* to dba@localhost; -- dba 可以管理 MySQL 中的所有數據庫
2. grant 作用在單個數據庫上:
grant select on testdb.* to dba@localhost; -- dba 可以查詢 testdb 中的表。
3. grant 作用在單個數據表上:
grant select, insert, update, delete on testdb.orders to dba@localhost;
4. grant 作用在表中的列上:
grant select(id, se, rank) on testdb.apache_log to dba@localhost;
5. grant 作用在存儲過程、函數上:
grant execute on procedure testdb.pr_add to 'dba'@'localhost'
grant execute on function testdb.fn_add to 'dba'@'localhost'
六、查看 MySQL 用戶權限
查看當前用戶(自己)權限:
show grants;
查看其他 MySQL 用戶權限:
show grants for dba@localhost;
七、撤銷已經賦予給 MySQL 用戶權限的權限。
revoke 跟 grant 的語法差不多,只需要把關鍵字 "to" 換成 "from" 即可:
grant all on *.* to dba@localhost;
revoke all on *.* from dba@localhost;
八、MySQL grant、revoke 用戶權限注意事項
1. grant, revoke 用戶權限後,該用戶只有重新連接 MySQL 數據庫,權限才能生效。
2. 如果想讓授權的用戶,也可以將這些權限 grant 給其他用戶,需要選項 "grant option"
grant select on testdb.* to dba@localhost with grant option;
這個特性一般用不到。實際中,數據庫權限最好由 DBA 來統一管理。
MySQL的權限系統圍繞着兩個概念:
認證->確定用戶是否允許連接數據庫服務器
授權->確定用戶是否擁有足夠的權限執行查詢請求等。
如果認證不成功的話,哪麼授權肯定是無法進行的。
revoke 跟 grant 的語法差不多,只需要把關鍵字 “to” 換成 “from”
表 GRANT和REVOKE管理的權限
|
權限 |
描述 |
|
ALL PRIVILEGES |
影響除WITH GRANT OPTION之外的所有權限 |
|
ALTER |
影響ALTER TABLE命令的使用 |
|
ALTER ROUTINE |
影響創建存儲例程的能力 |
|
CREATE |
影響CREATE TABLE命令的使用 |
|
CREATE ROUTINE |
影響更改和棄用存儲例程的能力 |
|
CREATE TEMPORARY TABLES |
影響CREATE TEMPORARY TABLE命令的使用 |
|
CREATE USER |
影響創建、棄用;重命名和撤銷用戶權限的能力 |
|
CREATE VIEW |
影響CREATE VIEW命令的使用 |
|
DELETE |
影響DELETE命令的使用 |
|
DROP |
影響DROP TABLE命令的使用 |
|
EXECUTE |
影響用戶運行存儲過程的能力 |
|
EVENT |
影響執行事件的能力(從MySQL5.1.6開始) |
|
FILE |
影響SELECT INTO OUTFILE和LOAD DATA INFILE的使用 |
|
GRANT OPTION |
影響用戶委派權限的能力 |
|
INDEX |
影響CREATE INDEX和DROP INDEX命令的使用 |
|
INSERT |
影響INSERT命令的使用 |
|
LOCK TABLES |
影響LOCK TABLES命令的使用 |
|
PROCESS |
影響SHOW PROCESSLIST命令的使用 |
|
REFERENCES |
未來MySQL特性的佔位符 |
|
RELOAD |
影響FLUSH命令集的使用 |
|
REPLICATION CLIENT |
影響用戶查詢從服務器和主服務器位置的能力 |
(續)
|
權限 |
描述 |
|
REPLICATION SLAVE |
複製從服務器所需的權限 |
|
SELECT |
影響SELECT命令的使用 |
|
SHOW DATABASES |
影響SHOW DATABASES命令的使用 |
|
SHOW VIEW |
影響SHOW CREATE VIEW命令的使用 |
|
SHUTDOWN |
影響SHUTDOWN命令的使用 |
|
SUPER |
影響管理員級命令的使用,如CHANGE、MASTER、KILL thread、mysqladmin debug、PURGE MASTER LOGS和SET GLOBAL |
|
TRIGGER |
影響執行觸發器的能力(從MySQL5.1.6開始) |
|
UPDATE |
影響UPDATE命令的使用 |
|
USAGE |
只連接,不授予權限 |
1>.改表法。你的帳號不允許從遠程登陸MySql服務器,只能在localhost。
解決辦法:
在localhost的那臺電腦,登入mysql後,更改 "mysql" 數據庫裏的 "user" 表裏的 "host" 項,從"localhost"改稱"%"
(1). mysql -u root -pvmwaremysql>use mysql;
(2). mysql>update user set host = '%' where user = 'root';
(3). mysql>select host, user from user;
2>. 授權法。例如,你想myuser使用mypassword從任何主機連接到mysql服務器的話。
(1). GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'%' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;
(2). FLUSH PRIVILEGES;
如果你想允許用戶myuser從ip爲192.168.1.6的主機連接到mysql服務器,並使用mypassword作爲密碼
(1). GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'192.168.1.3' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;
(2). FLUSH PRIVILEGES;
如果你想允許用戶myuser從ip爲192.168.1.6的主機連接到mysql服務器的dk數據庫,並使用mypassword作爲密碼
(1). GRANT ALL PRIVILEGES ON dk.* TO 'myuser'@'192.168.1.3' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;
(3). FLUSH PRIVILEGES;
注意:授權後必須FLUSH PRIVILEGES;否則無法立即生效。
另外一種方法:
3>.在安裝mysql的機器上運行:
1、d:\mysql\bin\>mysql -h localhost -u root
//這樣應該可以進入MySQL服務器
2、mysql>GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' WITH GRANT OPTION
//賦予任何主機訪問數據的權限
3、mysql>FLUSH PRIVILEGES
//修改生效
4、mysql>EXIT
//退出MySQL服務器
這樣就可以在其它任何的主機上以root身份登錄啦!
4>.查看 MySQL 用戶權限
查看當前用戶(自己)權限:
show grants;
查看其他 MySQL 用戶權限:
show grants for dba@localhost;
5>.撤銷已經賦予給 MySQL 用戶權限的權限。
revoke 跟 grant 的語法差不多,只需要把關鍵字 “to” 換成 “from” 即可:
grant all on *.* to dba@localhost;
revoke all on *.* from dba@localhost;
6>.MySQL grant、revoke 用戶權限注意事項
1. grant, revoke 用戶權限後,該用戶只有重新連接 MySQL 數據庫,權限才能生效。
2. 如果想讓授權的用戶,也可以將這些權限 grant 給其他用戶,需要選項 “grant option“
grant select on testdb.* to dba@localhost with grant option;
這個特性一般用不到。實際中,數據庫權限最好由 DBA 來統一管理。
7>.用戶和權限管理命令:
create user :用於創建新的用戶賬戶(從5.0版本開始有這個命令),在創建這個用戶的時候不分配任何權限,
需要在創建之後通過grant命令來給改用戶分配相應的權限。
eg:create user guest@localhost identified by '123456';
grant select on mydb.* to guest@localhost;
drop user:刪除一個用戶賬戶(注意在4.1.1版本之前只能刪除沒有任何權限的賬戶,5.0.2之後可以刪除任何賬戶)
eg:drop user guest;
rename user:可以實現重命名一個用戶賬號。
grant:用於管理訪問權限,也就是給用戶賬號授權。當然它同樣可以創建一個新的用戶賬戶。
eg:grant select, insert, update, delete on new_db.* to guest@'%' identified by '88888888';
grant 權限 on 數據庫.表 to 用戶 @ 訪問方式 identified by 密碼
grant select on mydb.* to guest@localhost identified by '123456';
BTW:如果需要一個空密碼或者無密碼的賬戶,必須先用Create User命令,然後通過
grant來分配權限。如果如下操作:
grant all privileges on mydb.* to visitor@'%' ;而在數據庫user表中沒有先創建visitor
用戶,則會發生1133錯誤"Can't find any matching row in the user table"。grant只能創
有密碼的賬戶。
revoke:刪除一個賬戶,具體查看MySQL的文檔。
8>.mysql中可以給你一個用戶授予如select,insert,update,delete等其中的一個或者多個權限,主要使用grant命令,用法格式爲:
grant 權限 on 數據庫對象 to 用戶
grant 普通數據用戶,查詢、插入、更新、刪除 數據庫中所有表數據的權利。
grant select on testdb.* to common_user@’%’
grant insert on testdb.* to common_user@’%’
grant update on testdb.* to common_user@’%’
grant delete on testdb.* to common_user@’%’
或者,用一條 MySQL 命令來替代:
grant select, insert, update, delete on testdb.* to common_user@’%’
9>.grant 數據庫開發人員,創建表、索引、視圖、存儲過程、函數。。。等權限。
grant 創建、修改、刪除 MySQL 數據表結構權限。
grant create on testdb.* to developer@’192.168.0.%’;
grant alter on testdb.* to developer@’192.168.0.%’;
grant drop on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 外鍵權限。
grant references on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 臨時表權限。
grant create temporary tables on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 索引權限。
grant index on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 視圖、查看視圖源代碼 權限。
grant create view on testdb.* to developer@’192.168.0.%’;
grant show view on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 存儲過程、函數 權限。
grant create routine on testdb.* to developer@’192.168.0.%’; -- now, can show procedure status
grant alter routine on testdb.* to developer@’192.168.0.%’; -- now, you can drop a procedure
grant execute on testdb.* to developer@’192.168.0.%’;
10>.grant 普通 DBA 管理某個 MySQL 數據庫的權限。
grant all privileges on testdb to dba@’localhost’
其中,關鍵字 “privileges” 可以省略。
11>.grant 高級 DBA 管理 MySQL 中所有數據庫的權限。
grant all on *.* to dba@’localhost’
12>.MySQL grant 權限,分別可以作用在多個層次上。
1. grant 作用在整個 MySQL 服務器上:
grant select on *.* to dba@localhost; -- dba 可以查詢 MySQL 中所有數據庫中的表。
grant all on *.* to dba@localhost; -- dba 可以管理 MySQL 中的所有數據庫
2. grant 作用在單個數據庫上:
grant select on testdb.* to dba@localhost; -- dba 可以查詢 testdb 中的表。
3. grant 作用在單個數據表上:
grant select, insert, update, delete on testdb.orders to dba@localhost;
4. grant 作用在表中的列上:
grant select(id, se, rank) on testdb.apache_log to dba@localhost;
5. grant 作用在存儲過程、函數上:
grant execute on procedure testdb.pr_add to ’dba’@’localhost’
grant execute on function testdb.fn_add to ’dba’@’localhost’