MySQL服務器通過權限表來控制用戶對數據庫的訪問,權限表存放在mysql數據庫裡,由mysql_install_db腳本初始化。這些權限表分別user,db,table_priv,columns_priv和host。下面分別介紹一下這些表的結構和內容:
user權限表:記錄允許連接到服務器的用戶帳號信息,裡面的權限是全局級的。
db權限表:記錄各個帳號在各個數據庫上的操作權限。
table_priv權限表:記錄數據表級的操作權限。
columns_priv權限表:記錄數據列級的操作權限。
host權限表:配合db權限表對給定主機上數據庫級操作權限作更細致的控制。這個權限表不受GRANT和REVOKE語句的影響。
大家注意到,以上權限沒有限制到數據行級的設置。在MySQL只要實現數據行級控制就要通過編寫程序(使用GET-LOCK()函數)來實現。
MySQL的版本很多,所以權限表的結構在不同版本間會有不同。如果出現這種情況,可用mysql_fix_privilege_tables腳本來修正。運行方式如下:
% mysql_fix_privilege_tables rootpassword #這裡要給出MySQL的root用戶密碼
最好一下子升級到MySQL 4.0.4版本,因為4.0.2和4.0.3的db表沒有Create_tmp_table_priv和Lock_tables_priv權限。
MySQL的權限表定義了兩部份內容,一個部份定義權限的范圍,即誰(帳戶)可以從哪裡(客戶端主機)訪問什麼(數據庫、數據表、數據列);另一部份定義權限,即控制用戶可以進行的操作。下面是一些常用的權限介紹,可直接在GRANT語句中使用。
CREATE TEMPORARY TABLES,允許創建臨時表的權限。
EXECUTE,允許執行存儲過程的權限,存儲過程在MySQL的當前版本中還沒實現。
FILE,允許你通過MySQL服務器去讀寫服務器主機上的文件。但有一定限制,只能訪問對任何用戶可讀的文件,通過服務器寫的文件必須是尚未存在的,以防止服務器寫的文件覆蓋重要的系統文件。盡管有這些限制,但為了安全,盡量不要把該權限授予普通用戶。並且不要以root用戶來運行MySQL服務器,因為root用戶可在系統任何地方創建文件。
GRANT OPTION,允許把你自已所擁有的權限再轉授給其他用戶。
LOCK TABLES,可以使用LOCK TABLES語句來鎖定數據表
PROCESS,允許你查看和終止任何客戶線程。SHOW PROCESSLIST語句或mysqladmin processlist命令可查看線程,KILL語句或mysqladmin kill命令可終止線程。在4.0.2版及以後的版本中,PROCESS權限只剩下查看線程的能力,終止線程的能力由SUPER權限控制。
RELOAD,允許你進行一些數據庫管理操作,如FLUSH,RESET等。它還允許你執行mysqladmin命令:reload,refresh,flush-hosts,flush-logs,flush-privileges,flush-status,flush-tables和flush-threads。
REPLICATION CLIENT,允許查詢鏡像機制中主服務器和從服務器的位置。
REPLICATION SLAVE,允許某個客戶連接到鏡像機制中的主服務器並請求發送二進制變更日志。該權限應授予從服務器用來連接主服務器的帳號。在4.0.2版這前,從服務器是用FILE權限來連接的。
SHOW DATABASES,控制用戶執行SHOW DATABASES語句的權限。
SUPER,允許終止線程,使用mysqladmin debug命令,使用CHANGE MASTER,PURGE MASTER LOGS以及修改全局級變量的SET語句。SUPER還允許你根據存放在DES密鑰文件裡的密鑰進行DES解密的工作。
user權限表中有一個ssl_type數據列,用來說明連接是否使用加密連接以及使用哪種類型的連接,它是一個ENUM類型的數據列,可能的取值有:
NONE,默認值,表示不需加密連接。
ANY,表示需要加密連接,可以是任何一種加密連接。由GRANT的REQUIRE SSL子句設置。
X509,表示需要加密連接,並要求客戶提供一份有效的X509證書。由GRANT的REQUIRE X509子句設置。
SPECIFIED,表示加密連接需滿足一定要求,由REQUIRE子句的ISSUER,SUBJECT或CIPHER的值進行設置。只要ssl_type列的值為SPECIFIED,則MySQL會去檢查ssl_cipher(加密算法)、x509_issuer(證書簽發者)和x509_subject(證書主題)列的值。這幾列的列類型是BLOB類型的。