用户添加授权
mysql> grant all privileges on *.* to 'niuben'@'%' identified by '123456' with grant option;
all privileges:表示将所有权限授予给用户。也可指定具体的权限,如:SELECT、CREATE、DROP等。
on:用于指定权限授予的对象和级别,表示这些权限对哪些数据库和表生效,格式:数据库名.表名,这里写“*”表示所有数据库,所有表。如果我要指定将权限应用到test库
的user表中,可以这么写:test.user
to:将权限授予哪个用户。格式:”用户名”@”登录IP或域名”。%表示没有限制,在任何主机都可以登录。比如:”niuben”@”192.168.0.%”,表示niuben这个用户只能
在192.168.0 IP段登录
identified by:指定用户的登录密码
with grant option:表示允许用户将自己的权限授权给其它用户
使用GRANT给用户添加权限,权限会自动叠加,不会覆盖之前授予的权限,比如你先给用户添加一个SELECT权限,后来又给用户添加了一个INSERT权限,那么该用户就同时拥有了SELECT和INSERT权限。
GRANT 语法格式:
GRANT
<权限类型> [ ( <列名> ) ] [ , <权限类型> [ ( <列名> ) ] ]
ON <对象> <权限级别> TO <用户>
其中<用户>的格式:
<用户名> [ IDENTIFIED ] BY [ PASSWORD ] <口令>
[ WITH GRANT OPTION]
| MAX_QUERIES_PER_HOUR <次数>
| MAX_UPDATES_PER_HOUR <次数>
| MAX_CONNECTIONS_PER_HOUR <次数>
| MAX_USER_CONNECTIONS <次数>
语法说明如下:
1) <列名>
可选项。用于指定权限要授予给表中哪些具体的列。
2) ON 子句
用于指定权限授予的对象和级别,如在 ON 关键字后面给出要授予权限的数据库名或表名等。
3) <权限级别>
用于指定权限的级别。可以授予的权限有如下几组:
- 列权限,和表中的一个具体列相关。例如,可以使用 UPDATE 语句更新表 students 中 student_name 列的值的权限。
- 表权限,和一个具体表中的所有数据相关。例如,可以使用 SELECT 语句查询表 students 的所有数据的权限。
- 数据库权限,和一个具体的数据库中的所有表相关。例如,可以在已有的数据库 mytest 中创建新表的权限。
- 用户权限,和 MySQL 中所有的数据库相关。例如,可以删除已有的数据库或者创建一个新的数据库的权限。
对应地,在 GRANT 语句中可用于指定权限级别的值有以下几类格式:
- *:表示当前数据库中的所有表。
- *.*:表示所有数据库中的所有表。
- db_name.*:表示某个数据库中的所有表,db_name 指定数据库名。
- db_name.tbl_name:表示某个数据库中的某个表或视图,db_name 指定数据库名,tbl_name 指定表名或视图名。
- tbl_name:表示某个表或视图,tbl_name 指定表名或视图名。
- db_name.routine_name:表示某个数据库中的某个存储过程或函数,routine_name 指定存储过程名或函数名。
- TO 子句:用来设定用户口令,以及指定被赋予权限的用户 user。若在 TO 子句中给系统中存在的用户指定口令,则新密码会将原密码覆盖;如果权限被授予给一个不存在的用户,MySQL 会自动执行一条 CREATE USER 语句来创建这个用户,但同时必须为该用户指定口令。
GRANT语句中的<权限类型>的使用说明如下:
1) 授予数据库权限时,<权限类型>可以指定为以下值:
- SELECT:表示授予用户可以使用 SELECT 语句访问特定数据库中所有表和视图的权限。
- INSERT:表示授予用户可以使用 INSERT 语句向特定数据库中所有表添加数据行的权限。
- DELETE:表示授予用户可以使用 DELETE 语句删除特定数据库中所有表的数据行的权限。
- UPDATE:表示授予用户可以使用 UPDATE 语句更新特定数据库中所有数据表的值的权限。
- REFERENCES:表示授予用户可以创建指向特定的数据库中的表外键的权限。
- CREATE:表示授权用户可以使用 CREATE TABLE 语句在特定数据库中创建新表的权限。
- ALTER:表示授予用户可以使用 ALTER TABLE 语句修改特定数据库中所有数据表的权限。
- SHOW VIEW:表示授予用户可以查看特定数据库中已有视图的视图定义的权限。
- CREATE ROUTINE:表示授予用户可以为特定的数据库创建存储过程和存储函数的权限。
- ALTER ROUTINE:表示授予用户可以更新和删除数据库中已有的存储过程和存储函数的权限。
- INDEX:表示授予用户可以在特定数据库中的所有数据表上定义和删除索引的权限。
- DROP:表示授予用户可以删除特定数据库中所有表和视图的权限。
- CREATE TEMPORARY TABLES:表示授予用户可以在特定数据库中创建临时表的权限。
- CREATE VIEW:表示授予用户可以在特定数据库中创建新的视图的权限。
- EXECUTE ROUTINE:表示授予用户可以调用特定数据库的存储过程和存储函数的权限。
- LOCK TABLES:表示授予用户可以锁定特定数据库的已有数据表的权限。
- ALL 或 ALL PRIVILEGES:表示以上所有权限。
2) 授予表权限时,<权限类型>可以指定为以下值:
- SELECT:授予用户可以使用 SELECT 语句进行访问特定表的权限。
- INSERT:授予用户可以使用 INSERT 语句向一个特定表中添加数据行的权限。
- DELETE:授予用户可以使用 DELETE 语句从一个特定表中删除数据行的权限。
- DROP:授予用户可以删除数据表的权限。
- UPDATE:授予用户可以使用 UPDATE 语句更新特定数据表的权限。
- ALTER:授予用户可以使用 ALTER TABLE 语句修改数据表的权限。
- REFERENCES:授予用户可以创建一个外键来参照特定数据表的权限。
- CREATE:授予用户可以使用特定的名字创建一个数据表的权限。
- INDEX:授予用户可以在表上定义索引的权限。
- ALL 或 ALL PRIVILEGES:所有的权限名。
3) 授予列权限时,<权限类型>的值只能指定为 SELECT、INSERT 和 UPDATE,同时权限的后面需要加上列名列表 column-list。
4) 最有效率的权限是用户权限。
授予用户权限时,<权限类型>除了可以指定为授予数据库权限时的所有值之外,还可以是下面这些值:
- CREATE USER:表示授予用户可以创建和删除新用户的权限。
- SHOW DATABASES:表示授予用户可以使用 SHOW DATABASES 语句查看所有已有的数据库的定义的权限。
grant 权限,分别可以作用在多个层次上。
1. grant 作用在整个 MySQL 服务器上:
grant select on *.* to dba@localhost; -- dba 可以查询 MySQL 中所有数据库中的表。
grant all on *.* to dba@localhost; -- dba 可以管理 MySQL 中的所有数据库
2. grant 作用在单个数据库上:
grant select on testdb.* to dba@localhost; -- dba 可以查询 testdb 中的表。
3. grant 作用在单个数据表上:
grant select, insert, update, delete on testdb.orders to dba@localhost;
这里在给一个用户授权多张表时,可以多次执行以上语句。例如:
grant select(user_id,username) on smp.users to mo_user@'%' identified by '123345';
grant select on smp.mo_sms to mo_user@'%' identified by '123345';
4. grant 作用在表中的列上:
grant select(id, se, rank) on testdb.apache_log to dba@localhost;
5. grant 作用在存储过程、函数上:
grant execute on procedure testdb.pr_add to 'dba'@'localhost'
grant execute on function testdb.fn_add to 'dba'@'localhost'
刷新权限
对用户做了权限变更之后,一定记得重新加载一下权限,将权限信息从内存中写入数据库。
mysql> flush privileges;
查看用户权限
查看当前用户(自己)权限:
mysql> show grants;
查看其他 MySQL 用户(dba是用户名)权限:
mysql> show grants for dba@localhost;
删除撤销权限
删除 niuben 这个用户的 create 权限,该用户将不能创建数据库和表。
revoke 跟 grant 的语法差不多,只需要把关键字 to 换成 from 即可:
mysql> revoke create on *.* from 'niuben@localhost';
删除用户
删除 niuben 这个用户。
mysql> drop user 'niuben'@'localhost';
用户重命名
修改用户名 niuben1 为 niuben2
mysql> rename user 'niuben1'@'%' to 'niuben2'@'%';