第五讲 MySQL访问权限系统.pptVIP

第五讲 MySQL访问权限系统 课程目标 权限系统工作原理 MySQL提供的权限 与MySQL服务器连接 访问控制 MySQL用户帐户管理 使用初始MySQL帐户安全 第一节 权限系统工作原理 1. 权限系统工作原理 MySQL权限系统保证用于对用户执行的操作进行限制。用户的身份由用户用于连接的主机名和使用的用户名来决定。连接后对于用户每一个操作，系统都会根据用户的身份判断该用户是否有执行该操作的权限。 1. 权限系统工作原理 MySQL存取控制包含2个阶段： 阶段1：服务器检查是否允许连接。 阶段2：连接成功后，服务器检查用户发出的每个操作请求，判断该用户是否有足够的权限执行它。例如，如果从数据库表中选择(select)行或从数据库删除表，服务器确定对表有SELECT权限或对数据库有DROP权限。 1. 权限系统工作原理 服务器在存取控制的两个阶段使用mysql数据库中的user、db和host表。 对存取控制的第二阶段(请求证实)，服务器执行请求验证以确保每个客户端有充分的权限满足各需求。除了user、db和host授权表，如果请求涉及表，服务器可以另外参考tables_priv和columns_priv表。 为了对涉及保存程序的请求进行验证，服务器将查阅procs_priv表。 1. 权限系统工作原理 服务器使用这样的授权表： user表范围列决定是否允许或拒绝到来的连接。对于允许的连接，user表授予的权限指出用户的全局(超级用户)权限。这些权限适用于服务器上的all数据库。 db表范围列决定用户能从哪个主机存取哪个数据库。权限列决定允许哪个操作。授予的数据库级别的权限适用于数据库和它的表。 第二节 MySQL提供的权限 2. MySQL提供的权限 2. MySQL提供的权限 2. MySQL提供的权限 通过CREATE和DROP权限，可以创建新数据库和表，或删除(移掉)已有数据库和表。如果将mysql数据库中的DROP权限授予某用户，用户可以删掉MySQL访问权限保存的数据库。 SELECT、INSERT、UPDATE和DELETE权限允许在一个数据库现有的表上实施操作。 2. MySQL提供的权限 SELECT语句只有在他们真正从一个表中检索行时才需要SELECT权限。一些SELECT语句不访问表，甚至没有任何到服务器上的数据库里的存取任何东西的许可。 例如，可使用mysql客户端作为一个简单的计算器来评估未引用表的表达式： mysql SELECT 1+1; mysql SELECT PI()*2; 2. MySQL提供的权限 INDEX权限允许创建或删除索引。INDEX适用已有表。如果具有某个表的CREATE权限，可以在CREATE TABLE语句中包括索引定义。 通过ALTER权限，可以使用ALTER TABLE来更改表的结构和重新命名表。 CREATE ROUTINE权限用于创建保存的程序（函数和程序），ALTER ROUTINE权限来更改和删除保存的程序，EXECUTE来执行保存的程序。 2. MySQL提供的权限 GRANT权限允许把自己拥有的那些权限授给其他的用户。可以用于数据库、表和保存的程序。 FILE权限给予用LOAD DATA INFILE和SELECT ... INTO OUTFILE语句读和写服务器上的文件，任何被授予FILE权限的用户都能读或写MySQL服务器能读或写的任何文件。(说明用户可以读任何数据库目录下的文件，因为服务器可以访问这些文件）。 FILE权限允许用户在MySQL服务器具有写权限的目录下创建新文件。不能覆盖已有文件。 2. MySQL提供的权限 其余的权限用于管理性操作，它使用mysqladmin程序或SQL语句实施。下表显示每个管理性权限允许执行的mysqladmin命令： 第三节 与MySQL服务器连接 3.与MySQL服务器连接 访问MySQL服务器时，MySQL客户端程序一般要求指定以下参数：MySQL服务器运行的主机名、姓名、密码。 例如，可以从命令行按照下述提示启动MySQL客户端(用shell表示)： shell MySQL -h 主机名 -u 用户名 –p密码 3.与MySQL服务器连接 -h, -u和-p选项还可以写成“--host=主机名”、“--user=用户名”和“--password=密码”。请注意 “-p”或“--password=”与后面的密码之间没有空格。 如果使用“-p”或“—password”选项但没有指定密码，客户端程序提示输入密码。此时输入密码会以星号显示，而不显示密码本身，这比在在命令行输入密码要安全得多。系统上的任何用户可以通过命令“ps auxww”在命令行中指定密码。