mysql> desc db;
+-----------------+-----------------+------+-----+---------+-------+| Field | Type | Null | Key | Default | Extra |+-----------------+-----------------+------+-----+---------+-------+| Host | char(60) binary | | PRI | | || Db | char(64) binary | | PRI | | || User | char(16) binary | | PRI | | || Select_priv | enum('N','Y') | | | N | || Insert_priv | enum('N','Y') | | | N | || Update_priv | enum('N','Y') | | | N | || Delete_priv | enum('N','Y') | | | N | || Create_priv | enum('N','Y') | | | N | || Drop_priv | enum('N','Y') | | | N | || Grant_priv | enum('N','Y') | | | N | || References_priv | enum('N','Y') | | | N | || Index_priv | enum('N','Y') | | | N | || Alter_priv | enum('N','Y') | | | N | |+-----------------+-----------------+------+-----+---------+-------+13 rows in set (0.01 sec) |
db表列出數據庫,而用戶有權限訪問它們。在這里指定的權限適用于一個數據庫中的所有表。
mysql> desc host;+-----------------+-----------------+------+-----+---------+-------+| Field | Type | Null | Key | Default | Extra |+-----------------+-----------------+------+-----+---------+-------+| Host | char(60) binary | | PRI | | || Db | char(64) binary | | PRI | | || Select_priv | enum('N','Y') | | | N | || Insert_priv | enum('N','Y') | | | N | || Update_priv | enum('N','Y') | | | N | || Delete_priv | enum('N','Y') | | | N | || Create_priv | enum('N','Y') | | | N | || Drop_priv | enum('N','Y') | | | N | || Grant_priv | enum('N','Y') | | | N | || References_priv | enum('N','Y') | | | N | || Index_priv | enum('N','Y') | | | N | || Alter_priv | enum('N','Y') | | | N | |+-----------------+-----------------+------+-----+---------+-------+12 rows in set (0.01 sec) |
host表與db表結合使用在一個較好層次上控制特定主機對數據庫的訪問權限,這可能比單獨使用db好些。這個表不受GRANT和REVOKE語句的影響,所以,你可能發覺你根本不是用它。
mysql> desc tables_priv;+-------------+-----------------------------+------+-----+---------+-------+| Field | Type | Null | Key | Default | Extra |+-------------+-----------------------------+------+-----+---------+-------+| Host | char(60) binary | | PRI | | || Db | char(64) binary | | PRI | | || User | char(16) binary | | PRI | | || Table_name | char(60) binary | | PRI | | || Grantor | char(77) | | MUL | | || Timestamp | timestamp(14) | YES | | NULL | || Table_priv | set('Select','Insert', | | | | || | 'Update','Delete','Create', | | | | || | 'Drop','Grant','References',| | | | || | 'Index','Alter') | | | | || Column_priv | set('Select','Insert', | | | | || | 'Update','References') | | | | |+-------------+-----------------------------+------+-----+---------+-------+8 rows in set (0.01 sec) |
tables_priv表指定表級權限。在這里指定的一個權限適用于一個表的所有列。
mysql> desc columns_priv;+-------------+------------------------+------+-----+---------+-------+| Field | Type | Null | Key | Default | Extra |+-------------+------------------------+------+-----+---------+-------+| Host | char(60) binary | | PRI | | || Db | char(64) binary | | PRI | | || User | char(16) binary | | PRI | | || Table_name | char(64) binary | | PRI | | || Column_name | char(64) binary | | PRI | | || Timestamp | timestamp(14) | YES | | NULL | || Column_priv | set('Select','Insert', | | | | || | 'Update','References') | | | | |+-------------+------------------------+------+-----+---------+-------+7 rows in set (0.00 sec) |
columns_priv表指定列級權限。在這里指定的權限適用于一個表的特定列。
2)MySQL授權表運行機制
MySQL的訪問控制分兩個步驟:
a)服務器檢查是否允許該用戶連接。
b)如果該用戶有權連接,那么服務器還會檢查它的每一個請求是否有足夠的權限。比如:用戶檢索數據庫中的一個表需要有這個數據庫的select權限,用戶刪除數據庫中的一個表需要有這個數據庫的drop權限。
授權表的user, db, host表使用這兩個步驟,tables_priv和columns_priv表只使用第二步(檢查請求)。每個授權表包含決定一個權限何時運用的范圍列和決定授予哪種權限的權限列。
范圍列指定表中的權限何時運用。每個授權表條目包含User和Host列來指定權限何時運用于一個給定用戶從給定主機的連接。其他表包含附加的范圍列,如db表包含一個Db列指出權限運用于哪個數據庫。類似地,tables_priv和columns_priv表包含范圍字段,縮小范圍到一個數據庫中的特定表或一個表的特定列。
下面是user表的Host字段和User字段組合的一些例子:
+----------------------------+--------+--------------------------------------------------+| Host值 | User值 | 匹配的連 |+----------------------------+--------+--------------------------------------------------+| 'x.y.z' | 'test' | test用戶只能從x.y.z連接數據庫 |+----------------------------+--------+--------------------------------------------------+| 'x.y.z' | '' | 任何用戶可以從x.y.z連接數據庫 |+----------------------------+--------+--------------------------------------------------+| '%' | 'test' | test用戶可以從任意主機連接數據庫 |+----------------------------+--------+--------------------------------------------------+| '' | '' | 任何用戶可以從任意主機連接數據庫 |+----------------------------+--------+--------------------------------------------------+| '%.y.z' | 'test' | test用戶可以從y.z域的任意主機連接數據庫 |+----------------------------+--------+--------------------------------------------------+| 'x.y.% ' | 'test' |test用戶可從x.y.net,x.y.com,x.y.edu主機連接數據庫|+----------------------------+--------+--------------------------------------------------+| '192.168.1.1' | 'test' | test用戶可以從IP地址為192.168.1.1的主機連接數據庫|+----------------------------+-----------------------------------------------------------+| '192.168.1.% ' | 'test' | test用戶可從C類子網192.168.1中任意主機連接數據庫 |+----------------------------+--------+--------------------------------------------------+| '192.168.1.0/255.255.255.0'| 'test' | 同上 |+----------------------------+--------+--------------------------------------------------+ |
SQL的字符串通配符%表示匹配任意字符,可以是0個字符,通配符_表示匹配一個字符。
權限列指出在范圍列中指定的用戶擁有何種權限。該表使用GRANT語句的權限名稱。對于絕大多數在user、db和host表中的權限列的名稱與GRANT語句中有明顯的聯系。如Select_priv對應于SELECT權限。
3)授權表使用舉例
grant用于給增加用戶和創建權限,revoke用于刪除用戶權限。
下面是一些用grant增加用戶和創建權限的例子:
mysql> grant all privileges on *.* to test@localhost identified by 'test' with grant option; |
這句增加一個本地具有所有權限的test用戶(超級用戶),密碼是test。ON子句中的*.*意味著"所有數據庫、所有表"。with grant option表示它具有grant權限。
mysql> grant select,insert,update,delete,create,drop privileges on test.* to test1@'192.168.1.0/255.255.255.0' identified by 'test'; |
這句是增加了一個test1用戶,口令是test,但是它只能從C類子網192.168.1連接,對test庫有select,insert,update,delete,create,drop操作權限。
用grant語句創建權限是不需要再手工刷新授權表的,因為它已經自動刷新了。
給用戶創建權限還可以通過直接修改授權表:
mysql> insert into user values("localhost","test",password("test"),"Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y");mysql> flush privileges; |
這兩句和上面第一句grant的效果是一樣的,也是增加了一個本地的test超級用戶。我們看到用grant方便多了,而且還不需flush privileges。
mysql> insert into user (host,user,password) values("192.168.1.0/255.255.255.0","test1",PASSWORD("test"));mysql> insert into db values("192.168.1.0/255.255.255.0","test","test1","Y","Y","Y","Y","Y","Y","N","N","N","N")mysql> flush privileges; |
這三句和上面第二句grant的效果也是一樣的,也是增加了一個只能從C類子網192.168.1連接,對test庫有select,insert,update,delete,create,drop操作權限的test1用戶,口令是test。
要取消一個用戶的權限,使用revoke語句。revoke的語法非常類似于grant語句,除了to用from取代并且沒有identified by和with grant option子句,下面是用revoke刪除用戶權限的例子:
mysql> revoke all on test.* from test1@'192.168.1.0/255.255.255.0';
這句revoke就撤消了上面第二句grant創建的權限,但是test1用戶并沒有被刪除,必須手工從user表刪除:
mysql> delete from user where user='test1';mysql> flush privileges; |
這樣,test1用戶就徹底刪除了。
這些只是MySQL授權表的簡單使用,更多詳細的資料請見MySQL提供的手冊。
3、編程需要注意的一些問題
不管是用哪種程序語言寫連接MySQL數據庫的程序,有一條準則是永遠不要相信用戶提交的數據!
對于數字字段,我們要使用查詢語句:SELECT * FROM table WHERE ID='234',不要使用SELECT * FROM table WHERE ID=234這樣的查詢語句。MySQL會自動把字串轉換為數字字符并且去除非數字字符。如果用戶提交的數據經過了mysql_escape_string處理,這樣我們就可以完全杜絕了sql inject攻擊,各種編程語言該注意的問題:
1)所有Web程序:
a)嘗試在Web表單輸入單引號和雙引號來測試可能出現的錯誤,并找出原因所在。
b)修改URL參數帶的%22 ('"'), %23 ('#'), 和 %27 (''')。
c)對于數字字段的變量,我們的應用程序必須進行嚴格的檢查,否則是非常危險的。
d)檢查用戶提交的數據是否超過字段的長度。
e)不要給自己程序連接數據庫的用戶過多的訪問權限。
2)PHP:
a)檢查用戶提交的數據在查詢之前是否經過addslashes處理,在PHP 4.0.3以后提供了基于MySQL C API的函數mysql_escape_string()。
3)MySQL C API:
a)檢查查詢字串是否用了mysql_escape_string() API調用。
4)MySQL++:
a)檢查查詢字串是否用了escape和quote處理。
5)Perl DBI:
a)檢查查詢字串是否用了quote()方法。
6)Java JDBC:
a)檢查查詢字串是否用了PreparedStatement對象。
4、一些小竅門
1)如果不慎忘記了MySQL的root密碼,我們可以在啟動MySQL服務器時加上參數--skip-grant-tables來跳過授權表的驗證 (./safe_mysqld --skip-grant-tables &),這樣我們就可以直接登陸MySQL服務器,然后再修改root用戶的口令,重啟MySQL就可以用新口令登陸了。
2)啟動MySQL服務器時加--skip-show-database使一般數據庫用戶不能瀏覽其它數據庫。
3)啟動MySQL服務器時加上--chroot=path參數,讓mysqld守護進程運行在chroot環境中。這樣SQL語句LOAD DATA INFILE和SELECT ... INTO OUTFILE就限定在chroot_path下讀寫文件了。這里有一點要注意,MySQL啟動后會建立一個mysql.sock文件,默認是在/tmp目錄下。使用了chroot后,MySQL會在chroot_path/tmp去建立mysql.sock文件,如果沒有chroot_path/tmp目錄或啟動MySQL的用戶沒有這個目錄寫權限就不能建立mysql.sock文件,MySQL會啟動失敗。比如我們加了--chroot=/usr/local/mysql/啟動參數,那么最好建立一個啟動MySQL的用戶能寫的/usr/local/mysql/tmp目錄,當然我們也可以用--socket=path來指定mysql.sock文件的路徑,但這個path一定要在chroot_path里面。
4)啟動MySQL服務器時加上--log-slow-queries=file參數,這樣mysqld會把SQL命令執行時間超過long_query_time的寫入file文件。如果沒有指定=file,mysqld默認會寫到數據目錄下的hostname-slow.log。如果只指定了filename,沒有指定路徑,那么mysqld也會把filename寫到數據目錄下。我們通過這個日志文件可以找出執行時間超長的查詢語句,然后盡可能的優化它減輕MySQL服務器的負擔。
5)如果我們只需本機使用MySQL服務,那么我們還可以加上--skip-networking啟動參數使MySQL不監聽任何TCP/IP連接,增加安全性。(非常推薦)
6)MySQL的更多mysqld啟動選項請見MySQL手冊4.16.4 mysqld Command-line Options
