第五章MYSQL中的安全性.pptVIP

数据库技术与应用 第五章 MYSQL权限与安全 本章主要内容 5.1.1 MYSQL权限管理的工作原理 MySQL存取控制包含2个阶段： 用户验证：服务器检查连接用户是否合法。不合法则拒绝连接。 权限验证：对通过认证的合法用户赋予相应的权限，用户在这些权限范围内对数据库做相应的操作。? 5.1.2 权限表的存取 MYSQL权限存取的两个过程中，分别要用到“mysql”数据库下的系统表。 用户验证：使用user、db、host权限表判断用户的合法性和基本权限。 权限验证：在基本权限验证后，可通过tables_priv和columns_priv、procs_priv表对表、列、存储过程提供更精确的权限控制。? 权限分配的说明 user→db→tables_priv→columns_priv分配的基本步骤： 1、检查全局权限user表，如果表中对应权限为Y，则该用户对所有数据库的对应权限都为Y，则不再检查其他权限表。 2、如user表相应权限为N，则检查db表该用户对应的数据库。如db表中为Y，则用户对应数据库具有指定权限，不再检查其他权限表。 3、如db表相应权限为N，则检查tables_priv表对应数据库下对应的具体表，如为Y，则对该表具有相应权限。 4、如tables_priv表相应权限为N，则检查columns_priv中对应表的具体字段，查看其权限。 权限分配的说明 user→db→tables_priv→columns_priv分配的基本步骤： 5.1.3 账号管理 创建账号—CREATE USER CREATE USER语法 CREATE USER user [IDENTIFIED BY [PASSWORD] password]??? [, user [IDENTIFIED BY [PASSWORD] password]] ... 必须拥有mysql数据库的全局CREATE USER权限，或INSERT权限。 可同时创建多个账号 例如：CREATE USER ‘zzh1’@’localhost’ IDENTIFIED BY ‘123456’, ‘zzh2’@’localhost’ IDENTIFIED BY ‘123456’; 创建账号—添加user表记录 语法 INSERT INTO user(host,user,password,ssl_cipher,x509_issuer,x509_subject) VALUES (‘localhost, ‘zzh1, PASSWORD (‘123456),’’,’’,’’) 在直接向user表插入用户时，密码必须要用password()函数加密，MYSQL默认添加用户时密码用passwrod()函数处理。否则，即便创建了用户，该用户也不能登录。 User表中，ssl_cipher,x509_issuer,x509_subject三个字段没有默认值，所以必须填充初始值才能插入用户。 直接向user表中插入用户后，需要执行FLUSH PRIVIEGES;命令使MYSQL重新装载user表中权限，方能使添加的用户生效。当然也可以重新启动MYSQL服务器。 创建账号—GRANT语句 基本语法 GRANT priv_type [(column_list)] [, priv_type [(column_list)]] ... ON [object_type] {tbl_name | * | *.* | db_name.*} TO user [IDENTIFIED BY [PASSWORD] password] [, user [IDENTIFIED BY [PASSWORD] password]] ... [WITH OPTION] object_type = TABLE | FUNCTION | PROCEDURE GRANT语句在创建用户的同时，指定该用户的相关权限。 使用WITH OPTION选项使得创建的用户也可以将其获得的权限授予给其他用户。 创建账号—GRANT语句 授予的权限可以分为多个层级： 全局层级：全局权限适用于一个给定服务器中的所有数据库。这些权限存储在mysql.user表中。GRANT ALL ON *.*和REVOKE ALL ON *.*只授予和撤销全局权限。 表层级：表权限适用于一个给定表中的所有列。这些权限存储在mysql.talbes_priv表中。GRANT ALL ON db_name.tbl_name和REVOKE ALL ON db_name.tbl_name只授予和撤销表权限。 列层级：列权限适用于一个给定表中的单一列。这些权限存储在mysql.co