数据库和表权限.pdf

在MySQL中，数据库和表权限是安全管理的关键组成部分，它们决定了用户可以执行的操作。这篇文档主要介绍了MySQL中的权限种类以及如何控制客户端的访问。 首先，针对数据库和表的操作，有以下几种权限： 1. ALTER：允许用户使用ALTER TABLE语句来更改表结构，如添加、删除或修改列。 2. CREATE：让用户创建新的数据库和表，但不包括创建索引。 3. DELETE：允许删除表中的记录。 4. DROP：让用户删除数据库和表，但不包括删除索引。 5. INDEX：用户可以创建和删除索引，对表的检索性能有直接影响。 6. REFERENCES：目前未使用。 7. SELECT：允许用户使用SELECT语句从表中获取数据，包括简单的查询和复杂查询。 8. UPDATE：用户可以更新表中的已有记录。 其次，管理权限涉及服务器控制和用户授权： 1. FILE：允许读取和写入服务器主机上的文件，此权限需谨慎授予，因为它具有潜在的安全风险。 2. GRANT：用户可以将自己的权限转授给其他用户，包括GRANT权限本身。 3. PROCESS：查看和终止服务器上的线程，包括自己的线程和其他线程。 4. RELOAD：执行刷新操作，如刷新日志、权限、主机信息等，以及mysqladmin的相关命令。 5. SHUTDOWN：允许用户关闭服务器。 在MySQL的user、db和host表中，权限以“N”或“Y”的ENUM类型存储，而在tables_priv和columns_priv表中，权限以SET类型表示，可以组合多个权限。tables_priv表的Table_priv列包含Select、Insert、Update、Delete、Create、Drop、Grant、References、Index、Alter等权限，而columns_priv表的Column_priv列则包含Select、Insert、Update、References权限。 当用户尝试连接MySQL服务器时，会经历两阶段的访问控制： 1. 连接阶段：服务器根据user表中的用户名、主机名和提供的密码来决定是否允许连接。 2. 查询阶段：一旦连接成功，服务器会检查每个查询的权限，确保用户有执行查询所需的权限。这一阶段将持续到会话结束。 在user表中，有一些列是其他授权表中没有的，比如File_priv、Process_priv、Reload_priv和Shutdown_priv，这些权限与特定数据库或表无关，而是全局性的。 MySQL服务器通过匹配授权表条目的方式来控制客户访问，包括对范围列（如Host）的处理，它们可以接受主机名、IP地址，甚至通配符。例如，Host列的"localhost"值仅在主机名明确为"localhost"时匹配，而非任何本地连接。 理解并正确配置这些权限是确保数据库安全、防止未授权访问的关键。因此，在实际操作中，应根据需求谨慎分配权限，并定期审查和更新权限设置，以适应不断变化的系统需求和安全策略。