马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
要想在MySQL与其他数据库之间进行一个面面俱到的功能设置对比,并不是一件容易的MySQL学习教程。随着新软件版本的发布或一些补丁的推出。本文报告了怎样为用户分派符合的权限,几个主要的准绳就是给用户分派仅够利用的最小权限,只管不在影响全部数据库的user表平分配权限。有些权限是有伤害的,比方FILE、GRANT、PROCESS,办理员要稳重利用。
服务重视新启动的情形
当MySQLd启动时,一切的受权表内容被读进存储器而且从当时入手下手失效。
被服务器当即使用的情形
用GRANT、REVOKE或SETPASSWord对受权表实施的修正会当即被服务器注重到。
间接修正受权表的情形
假如你手工地修正受权表(利用INSERT、UPDATE等等),你应当实行一个FLUSHPRIVILEGES语句或运转mysqladminflush-privileges告知服务器再装载受权表,不然你的改动将不失效,除非你重启服务器。
对现有客户毗连的影响情形
当服务器注重到受权表被改动了时,现存的客户毗连有以下影响:
・表和列权限在客户的下一次哀求时失效。
・数据库权限改动鄙人一个USEdb_name命令失效。
・全局权限的改动和口令改动鄙人一次客户毗连时失效。
受权准绳
不管怎样当心都不免在给用户受权时留有毛病,但愿上面的内容能给你一些匡助,你一样平常应当恪守这些划定规矩。
只要root用户具有受权表的改写权
不要把受权表的改写权授与除root用户以外的别的用户(固然,假如你能够用另外一个用户取代root用户举行办理,以增添平安性)。由于如许,用户能够经由过程改写受权表而颠覆现有的权限。发生平安毛病。
一样平常情形下,你大概不会犯这个毛病,可是在安装新的分发,初始受权表以后。这个毛病是存在的,假如你不懂得这时候受权表的内容你大概会出错误。
在Unix(linux)上,在依照手册的指令安装好MySQL后,你必需运转mysql_install_db剧本创建包括受权表的mysql数据库和初始权限。在Windows上,运转分发中的Setup程序初始化数据目次和mysql数据库。假定服务器也在运转。
当你第一次在呆板上安装MySQL时,mysql数据库中的受权表是如许初始化的:
・你能够从当地主机(localhost)上以root毗连而不指定口令。root用户具有一切权限(包含办理权限)并可做任何事变。(特地申明,MySQL超等用户与Unix超等用户有不异的名字,他们相互毫有关系。)
・匿名会见被授与用户可从当地毗连名为test和任何名字以test_入手下手的数据库。匿名用户可对数据库做任何事变,但无办理权限。
一样平常地,倡议你删除匿名用户纪录:
mysql>DELETEFROMuserWHEREUser="";
更进一步,同时删除其他受权表中的任何匿名用户,有User列的表有db、tables_priv和columns_priv。
别的要给root用户设置暗码。
关于用户、口令及主机的设置
・对一切MySQL用户利用口令。
记着,假如other_user没有口令,任何人能复杂地用mysql-uother_userdb_name作为任何别的的人登录。对客户机/服务器使用程序,客户能够指定任何用户名是罕见的做法。在你运转它之前,你能够经由过程编纂mysql_install_db剧本改动一切用户的口令,或仅仅MySQLroot的口令,象如许:
shell>mysql-urootmysql
mysql>UPDATEuserSETPassword=PASSWORD(new_password)
->WHEREuser=root;
mysql>FLUSHPRIVILEGES;
・删除匿名用户
匿名用户的存在不但不但简单引发存取回绝毛病,更会发生严峻的平安毛病,安装受权表后,主动安装匿名用户。缺省时你能够用任何用户名毗连,不必要暗码,而且具有修正受权表权限。
你能够如许删除匿名用户:
shell>mysqlCurootCpmysql
mysql>deletefromuserwhereUser=””;
・寄望利用通配符的主机名,只管减少主机名的局限,合适用户的主机就充足了,不要让用户不利用的主机留在受权内外。
・假如你不信托你的DNS,你应当在受权表中利用ip数字而不是主机名。准绳上讲,--secure选项对mysqld应当使主机名更平安。在任何情形下,你应当十分当心地利用包括通配符的主机名!
授与用户符合的权限
・受权用户充足利用的权限,不要付与分外的权限。
比方,关于用户只必要检索数据表的需求,付与SELECT权限便可,不成付与UPDATE、INSERT等写权限,不要怕被说成时守财奴。
・大概会发生平安毛病的权限
grant权限同意用户保持他们的权限给其他用户。2个有分歧的权限并有grant权限的用户能够兼并权限。
alter权限能够用于经由过程从头定名表来颠覆权限体系。由于ALTER权限大概以你没有假想的任何办法被利用。比方,一个用户user1能会见table1,但不克不及会见table2。可是假如用户user1带有ALTER权限大概经由过程利用ALTERTABLE将table2重定名为table1来打乱你的假想。
shutdown权限经由过程停止服务器能够被滥用完整回绝为其他用户服务。
・大概会发生严峻平安毛病的权限
不要把PROCESS权限给一切用户。mysqladminprocesslist的输入显现出以后实行的查询注释,假如别的的用户收回一个UPDATEuserSETpassword=PASSWORD(not_secure)查询,被同意实行谁人命令的任何用户大概看失掉。mysqld为有process权限的用户保存一个分外的毗连,以便一个MySQLroot用户能登录并反省,即便一切的一般毗连在利用。
不要把FILE权限给一切的用户。有这权限的任何用户能在具有mysqld保卫历程权限的文件体系那边写一个文件!为了使这更平安一些,用SELECT...INTOOUTFILE天生的一切文件对每一个人是可读的,而且你不克不及掩盖已存在的文件。
FILE权限也能够被用来读取任何作为运转服务器的Unix用户可存取的文件。这大概被滥用,由于不但有该服务器主机帐号的用户能够读取它们,并且有FILE权限的任何客户机也能够经由过程收集读取它们。你的数据库目次和体系的各类文件大概成为环球局限共享的文件!比方,经由过程利用LOADDATA装载“/etc/passwd”进一个数据库表,然后它能用SELECT被读进。
上面的历程申明怎样举行此项操纵:
1、建具有LONGBLOB列的表:
mysql>USEtest;
mysql>CREATETABLEtemp(bLONGBLOB);
2、用此表读取你要夺取的文件的内容:
mysql>LOADDATAINFILE“/etc/passwd”INTOTABLEtemp
->FIELDSESCAPEDBY“”LINESTERMINATEDBY“”;
mysql>SELECT*FROMtemp;
3、能够如许夺取你的数据表data:
mysql>LOADDATAINFILE“./other_db/data.frm”INTOTABLEtemp
->FIELDSESCAPEDBY“”LINESTERMINATEDBY“”;
mysql>SELECT*FROMtempINTOOUTFILE“./another_db/data.frm”
->FIELDSESCAPEDBY“”LINESTERMINATEDBY“”;
mysql>DELETEFROMtemp;
mysql>LOADDATAINFILE“./other_db/data.MYD”INTOTABLEtemp
->FIELDSESCAPEDBY“”LINESTERMINATEDBY“”;
mysql>SELECT*FROMtempINTOOUTFILE“./another_db/data.MYD”
->FIELDSESCAPEDBY“”LINESTERMINATEDBY“”;
mysql>DELETEFROMtemp;
mysql>LOADDATAINFILE“./other_db/data.MYI”INTOTABLEtemp
->FIELDSESCAPEDBY“”LINESTERMINATEDBY“”;
mysql>SELECT*FROMtempINTOOUTFILE“./another_db/data.MYI”
->FIELDSESCAPEDBY“”LINESTERMINATEDBY“”;
mysql>DELETEFROMtemp;
然后用户就具有的一个新表another.data,能够对它举行完整会见。
MySQL权限体系没法完成的义务
有一些事变你不克不及用MySQL权限体系做到:
你不克不及分明地指定一个给定用户应当被回绝存取。即,你不克不及分明地婚配一个用户而且然后回绝毗连。
你不克不及指定一个用户有权创立立或丢弃一个数据库中的表,也不克不及创立或丢弃数据库自己。
你会发现实际上MySQL可以更少地占用资金,前者的每CPU许可费用一般从4000美元到25000美元不等,而MySQL企业版的支持和维护成本就更低了。 |
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 20:08:45
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜