用戶和數(shù)據(jù)安全性PPT課件

1、用戶和數(shù)據(jù)安全性9.1 添加和刪除用戶添加和刪除用戶9.2 授予權(quán)限和回收權(quán)限授予權(quán)限和回收權(quán)限9.3 界面方式操作用戶與權(quán)限界面方式操作用戶與權(quán)限9.4 表維護(hù)語句表維護(hù)語句用戶和數(shù)據(jù)安全性9.1.1 添加用戶添加用戶可以使用CREATE USER語法添加一個(gè)或多個(gè)用戶，并設(shè)置相應(yīng)的密碼。語法格式：CREATE USER user IDENTIFIED BY PASSWORD password , user IDENTIFIED BY PASSWORD password .其中，user的格式為：user_name host name說明：user_name為用戶名，host_name為主機(jī)

2、名，password為該用戶的密碼。在大多數(shù)SQL產(chǎn)品中，用戶名和密碼只由字母和數(shù)字組成。使用自選的IDENTIFIED BY子句，可以為賬戶給定一個(gè)密碼。特別是要在純文本中指定密碼，需忽略PASSWORD關(guān)鍵詞。如果不想以明文發(fā)送密碼，而且知道PASSWORD()函數(shù)返回給密碼的混編值，則可以指定該混編值，但要加關(guān)鍵字PASSWORD。CREATE USER用于創(chuàng)建新的MySQL賬戶。CREATE USER會(huì)在系統(tǒng)本身的mysql數(shù)據(jù)庫(kù)的user表中添加一個(gè)新記錄。要使用CREATE USER，必須擁有mysql數(shù)據(jù)庫(kù)的全局CREATE USER權(quán)限或INSERT權(quán)限。如果賬戶已經(jīng)存在，則出

3、現(xiàn)錯(cuò)誤。【例9.1】 添加兩個(gè)新的用戶，king的密碼為queen，palo的密碼為530415。CREATE USER kinglocalhost IDENTIFIED BY queen, palolocalhost IDENTIFIED BY 530415;用戶和數(shù)據(jù)安全性說明：在用戶名的后面聲明了關(guān)鍵字localhost。這個(gè)關(guān)鍵字指定了用戶創(chuàng)建的使用MySQL的連接所來自的主機(jī)。如果一個(gè)用戶名和主機(jī)名中包含特殊符號(hào)如“_”，或通配符如“%”，則需要用單引號(hào)將其括起?！?”表示一組主機(jī)。如果兩個(gè)用戶具有相同的用戶名但主機(jī)不同，MySQL將其視為不同的用戶，允許為這兩個(gè)用戶分配不同的權(quán)限集

4、合。如果沒有輸入密碼，那么MySQL允許相關(guān)的用戶不使用密碼登錄。但是從安全的角度并不推薦這種做法。剛剛創(chuàng)建的用戶還沒有很多權(quán)限。它們可以登錄到MySQL，但是它們不能使用USE語句來讓用戶已經(jīng)創(chuàng)建的任何數(shù)據(jù)庫(kù)成為當(dāng)前數(shù)據(jù)庫(kù)，因此，它們無法訪問那些數(shù)據(jù)庫(kù)的表，只允許進(jìn)行不需要權(quán)限的操作，例如，用一條SHOW語句查詢所有存儲(chǔ)引擎和字符集的列表。用戶和數(shù)據(jù)安全性語法格式：DROP USER user , user_name .DROP USER語句用于刪除一個(gè)或多個(gè)MySQL賬戶，并取消其權(quán)限。要使用DROP USER，必須擁有mysql數(shù)據(jù)庫(kù)的全局CREATE USER權(quán)限或DELETE權(quán)限?！?/p>

5、例9.2】 刪除用戶TOM。DROP USER TOMlocalhost;如果刪除的用戶已經(jīng)創(chuàng)建了表、索引或其他的數(shù)據(jù)庫(kù)對(duì)象，它們將繼續(xù)保留，因?yàn)镸ySQL并沒有記錄是誰創(chuàng)建了這些對(duì)象。用戶和數(shù)據(jù)安全性可以使用RENAME USER語句來修改一個(gè)已經(jīng)存在的SQL用戶的名字。 語法格式：RENAME USER old_user TO new_user, , old_user TO new_user .說明：old_user為已經(jīng)存在的SQL用戶。new_user為新的SQL用戶。RENAME USER語句用于對(duì)原有MySQL賬戶進(jìn)行重命名。要使用RENAME USER，必須擁有全局CREATE

6、USER權(quán)限或mysql數(shù)據(jù)庫(kù)UPDATE權(quán)限。如果舊賬戶不存在或者新賬戶已存在，則會(huì)出現(xiàn)錯(cuò)誤?！纠?.3】 將用戶king1和king2的名字分別修改為ken1和ken2。RENAME USERking1localhost TO ken1localhost,king2localhost TO ken2localhost;用戶和數(shù)據(jù)安全性要修改某個(gè)用戶的登錄密碼，可以使用SET PASSWORD語句。語法格式：SET PASSWORD FOR user= PASSWORD(newpassword)說明：如果不加FOR user，表示修改當(dāng)前用戶的密碼。加了FOR user則是修改當(dāng)前主機(jī)上的特

7、定用戶的密碼，user為用戶名。user的值必須以u(píng)ser_namehost_name的格式給定。【例9.4】 將用戶king的密碼修改為queen1。SET PASSWORD FOR kinglocalhost = PASSWORD(queen1);用戶和數(shù)據(jù)安全性9.2.1 授予權(quán)限授予權(quán)限新的SQL用戶不允許訪問屬于其他SQL用戶的表，也不能立即創(chuàng)建自己的表，它必須被授權(quán)。可以授予的權(quán)限有以下幾組。（1）列權(quán)限：和表中的一個(gè)具體列相關(guān)。例如，使用UPDATE語句更新表XS學(xué)號(hào)列的值的權(quán)限。（2）表權(quán)限：和一個(gè)具體表中的所有數(shù)據(jù)相關(guān)。例如，使用SELECT語句查詢表XS的所有數(shù)據(jù)的權(quán)限。（

8、3）數(shù)據(jù)庫(kù)權(quán)限：和一個(gè)具體的數(shù)據(jù)庫(kù)中的所有表相關(guān)。例如，在已有的XSCJ數(shù)據(jù)庫(kù)中創(chuàng)建新表的權(quán)限。（4）用戶權(quán)限：和MySQL所有的數(shù)據(jù)庫(kù)相關(guān)。例如，刪除已有的數(shù)據(jù)庫(kù)或者創(chuàng)建一個(gè)新的數(shù)據(jù)庫(kù)的權(quán)限。給某用戶授予權(quán)限可以使用GRANT語句。使用SHOW GRANTS語句可以查看當(dāng)前賬戶擁有什么權(quán)限。GRANT語法格式：GRANT priv_type (column_list) , priv_type (column_list) . ON object_type tbl_name | * | *.* | db_name.* TO user IDENTIFIED BY PASSWORD password

9、 , user IDENTIFIED BY PASSWORD password . WITH with_option with_option .用戶和數(shù)據(jù)安全性其中，object_type： TABLE| FUNCTION| PROCEDUREwith_option ： GRANT OPTION| MAX_QUERIES_PER_HOUR count| MAX_UPDATES_PER_HOUR count| MAX_CONNECTIONS_PER_HOUR count| MAX_USER_CONNECTIONS count說明：priv_type為權(quán)限的名稱，如SELECT、UPDATE等，給

10、不同的對(duì)象授予權(quán)限priv_type的值也不相同。TO子句用來設(shè)定用戶的密碼。ON關(guān)鍵字后面給出的是要授予權(quán)限的數(shù)據(jù)庫(kù)或表名，下面將一一介紹。（1）授予表權(quán)限和列權(quán)限授予表權(quán)限時(shí)，priv_type可以是以下值： SELECT：給予用戶使用SELECT語句訪問特定的表的權(quán)力。用戶也可以在一個(gè)視圖公式中包含表。然而，用戶必須對(duì)視圖公式中指定的每個(gè)表（或視圖）都有SELECT權(quán)限。 INSERT：給予用戶使用INSERT語句向一個(gè)特定表中添加行的權(quán)力。 DELETE：給予用戶使用DELETE語句向一個(gè)特定表中刪除行的權(quán)力。 UPDATE：給予用戶使用UPDATE語句修改特定表中值的權(quán)力。用戶和數(shù)據(jù)

11、安全性 REFERENCES：給予用戶創(chuàng)建一個(gè)外鍵來參照特定的表的權(quán)力。 CREATE：給予用戶使用特定的名字創(chuàng)建一個(gè)表的權(quán)力。 ALTER：給予用戶使用ALTER TABLE語句修改表的權(quán)力。 INDEX：給予用戶在表上定義索引的權(quán)力。 DROP：給予用戶刪除表的權(quán)力。 ALL或ALL PRIVILEGES：表示所有權(quán)限名。在授予表權(quán)限時(shí)，ON關(guān)鍵字后面跟tb1_name，tb1_name為表名或視圖名?！纠?.5】 授予用戶king在XS表上的SELECT權(quán)限。USE XSCJ;GRANT SELECT ON XS TO kinglocalhost;說明：這里假設(shè)是在ROOT用戶中輸入了這

12、些語句，這樣用戶king就可以使用SELECT語句來查詢XS表，而不管是誰創(chuàng)建的這個(gè)表。若在TO子句中給存在的用戶指定密碼，則新密碼將原密碼覆蓋。如果權(quán)限授予了一個(gè)不存在的用戶，MySQL會(huì)自動(dòng)執(zhí)行一條CREATE USER語句來創(chuàng)建這個(gè)用戶，但必須為該用戶指定密碼。用戶和數(shù)據(jù)安全性【例9.6】 用戶liu和zhang不存在，授予它們?cè)赬S表上的SELECT和UPDATE權(quán)限。GRANT SELECT,UPDATE ON XS TO liulocalhost IDENTIFIED BY LPWD, zhanglocalhost IDENTIFIED BY ZPWD;對(duì)于列權(quán)限，priv_typ

13、e的值只能取SELECT、INSERT和UPDATE。權(quán)限的后面需要加上列名column_list?！纠?.7】 授予king在XS表上的學(xué)號(hào)列和姓名列的UPDATE權(quán)限。GRANT UPDATE(姓名, 學(xué)號(hào))ON XSTO kinglocalhost;（2）授予數(shù)據(jù)庫(kù)權(quán)限表權(quán)限適用于一個(gè)特定的表。MySQL還支持針對(duì)整個(gè)數(shù)據(jù)庫(kù)的權(quán)限。例如，在一個(gè)特定的數(shù)據(jù)庫(kù)中創(chuàng)建表和視圖的權(quán)限。授予數(shù)據(jù)庫(kù)權(quán)限時(shí)，priv_type可以是以下值： SELECT：給予用戶使用SELECT語句訪問特定數(shù)據(jù)庫(kù)中所有表和視圖的權(quán)力。 INSERT：給予用戶使用INSERT語句向特定數(shù)據(jù)庫(kù)中所有表添加行的權(quán)力。 DE

14、LETE：給予用戶使用DELETE語句刪除特定數(shù)據(jù)庫(kù)中所有表的行的權(quán)力。 UPDATE：給予用戶使用UPDATE語句更新特定數(shù)據(jù)庫(kù)中所有表的值的權(quán)力。 REFERENCES：給予用戶創(chuàng)建指向特定的數(shù)據(jù)庫(kù)中的表外鍵的權(quán)力。用戶和數(shù)據(jù)安全性 CREATE：給予用戶使用CREATE TABLE語句在特定數(shù)據(jù)庫(kù)中創(chuàng)建新表的權(quán)力。 ALTER：給予用戶使用ALTER TABLE語句修改特定數(shù)據(jù)庫(kù)中所有表的權(quán)力。 INDEX：給予用戶在特定數(shù)據(jù)庫(kù)中的所有表上定義和刪除索引的權(quán)力。 DROP：給予用戶刪除特定數(shù)據(jù)庫(kù)中所有表和視圖的權(quán)力。 CREATE TEMPORARY TABLES：給予用戶在特定數(shù)據(jù)庫(kù)中

15、創(chuàng)建臨時(shí)表的權(quán)力。 CREATE VIEW：給予用戶在特定數(shù)據(jù)庫(kù)中創(chuàng)建新的視圖的權(quán)力。 SHOW VIEW：給予用戶查看特定數(shù)據(jù)庫(kù)中已有視圖的視圖定義的權(quán)力。 CREATE ROUTINE：給予用戶為特定的數(shù)據(jù)庫(kù)創(chuàng)建存儲(chǔ)過程和存儲(chǔ)函數(shù)等權(quán)力。 ALTER ROUTINE：給予用戶更新和刪除數(shù)據(jù)庫(kù)中已有的存儲(chǔ)過程和存儲(chǔ)函數(shù)等權(quán)力。 EXECUTE ROUTINE：給予用戶調(diào)用特定數(shù)據(jù)庫(kù)的存儲(chǔ)過程和存儲(chǔ)函數(shù)的權(quán)力。 LOCK TABLES：給予用戶鎖定特定數(shù)據(jù)庫(kù)的已有表的權(quán)力。 ALL或ALL PRIVILEGES：表示以上所有權(quán)限名。在GRANT語法格式中，授予數(shù)據(jù)庫(kù)權(quán)限時(shí)ON關(guān)鍵字后面跟“*”

16、和“db_name.*”?！?”表示當(dāng)前數(shù)據(jù)庫(kù)中的所有表；“db_name.*”表示某個(gè)數(shù)據(jù)庫(kù)中的所有表?！纠?.8】 授予king在XSCJ數(shù)據(jù)庫(kù)中的所有表的SELECT權(quán)限。GRANT SELECT ON XSCJ.* TO kinglocalhost;用戶和數(shù)據(jù)安全性說明：這個(gè)權(quán)限適用于所有已有的表，以及此后添加到XSCJ數(shù)據(jù)庫(kù)中的任何表。【例9.9】 授予king在XSCJ數(shù)據(jù)庫(kù)中所有的數(shù)據(jù)庫(kù)權(quán)限。USE XSCJ;GRANT ALL ON * TO kinglocalhost;和表權(quán)限類似，授予一個(gè)數(shù)據(jù)庫(kù)權(quán)限也不意味著擁有另一個(gè)權(quán)限。如果用戶被授予可以創(chuàng)建新表和視圖，但是還不能訪問它

17、們。要訪問它們，它還需要單獨(dú)被授予SELECT權(quán)限或更多權(quán)限。（3）授予用戶權(quán)限最有效率的權(quán)限就是用戶權(quán)限，對(duì)于需要授予數(shù)據(jù)庫(kù)權(quán)限的所有語句，也可以定義在用戶權(quán)限上。例如，在用戶級(jí)別上授予某人CREATE權(quán)限，這個(gè)用戶可以創(chuàng)建一個(gè)新的數(shù)據(jù)庫(kù)，也可以在所有的數(shù)據(jù)庫(kù)（而不是特定的數(shù)據(jù)庫(kù)）中創(chuàng)建新表。MySQL授予用戶權(quán)限時(shí)priv_type還可以是以下值。 CREATE USER：給予用戶創(chuàng)建和刪除新用戶的權(quán)力。 SHOW DATABASES：給予用戶使用SHOW DATABASES語句查看所有已有的數(shù)據(jù)庫(kù)的定義的權(quán)利。用戶和數(shù)據(jù)安全性在GRANT語法格式中，授予用戶權(quán)限時(shí)ON子句中使用“*.*”

18、，表示所有數(shù)據(jù)庫(kù)的所 有表。【例9.10】 授予Peter對(duì)所有數(shù)據(jù)庫(kù)中的所有表的CREATE、ALTERT和DROP權(quán)限。GRANT CREATE ,ALTER ,DROP ON *.* TO Peterlocalhost IDENTIFIED BY ppwd;【例9.11】 授予Peter創(chuàng)建新用戶的權(quán)力。GRANT CREATE USER ON *.* TO Peterlocalhost;為了概括權(quán)限，表9.1列出了可以在哪些級(jí)別授予某條SQL語句權(quán)限。用戶和數(shù)據(jù)安全性GRANT語句的最后可以使用WITH子句。如果指定為WITH GRANT OPTION，則表示TO子句中指定的所有用戶都

19、有把自己所擁有的權(quán)限授予其他用戶的權(quán)利，而不管其他用戶是否擁有該權(quán)限?！纠?.12】 授予David在XS表上的SELECT權(quán)限，并允許其將該權(quán)限授予其他用戶。首先在ROOT用戶下授予David用戶SELECT權(quán)限：GRANT SELECT ON XSCJ.XS TO Davidlocalhost IDENTIFIED BY 123456 WITH GRANT OPTION;接著，以David用戶身份登錄MySQL，登錄方式為：（1）打開DOS窗口，然后進(jìn)入mysql安裝目錄下的bin目錄，默認(rèn)安裝的路徑為：C:Program FilesMySQLMySQL Server 5.1bin。（2）

20、輸入命令：mysql -hlocalhost -uDavid -p123456。其中-h后為主機(jī)名，-u后為用戶名，-p后為用戶密碼。登錄后界面如圖9.1所示。用戶和數(shù)據(jù)安全性圖9.1 用戶登錄界面登錄后，David用戶只有查詢XSCJ數(shù)據(jù)庫(kù)中XS表的權(quán)利，它可以把這個(gè)權(quán)限傳遞給其他用戶，這里假設(shè)用戶Jim已經(jīng)創(chuàng)建：GRANT SELECT ON XSCJ.XS TO Jimlocalhost;說明：使用了WITH GRANT OPTION子句后，如果David在該表上還擁有其他權(quán)限，他可以將其他權(quán)限也授予Jim而不僅限于SELECT。用戶和數(shù)據(jù)安全性WITH子句也可以對(duì)一個(gè)用戶授予使用限制，

21、其中，MAX_QUERIES_PER_HOUR count表示每小時(shí)可以查詢數(shù)據(jù)庫(kù)的次數(shù)；MAX_CONNECTIONS_PER_HOUR count表示每小時(shí)可以連接數(shù)據(jù)庫(kù)的次數(shù)；MAX_UPDATES_PER_HOUR count表示每小時(shí)可以修改數(shù)據(jù)庫(kù)的次數(shù)。例如，某人每小時(shí)可以查詢數(shù)據(jù)庫(kù)多少次。MAX_USER_CONNECTIONS count表示同時(shí)連接MySQL的最大用戶數(shù)。count是一個(gè)數(shù)值，對(duì)于前三個(gè)指定，count如果為0則表示不起限制作用。【例9.13】 授予Jim每小時(shí)只能處理一條SELECT語句的權(quán)限。GRANT SELECT ON XS TO Jimlocalho

22、stWITH MAX_QUERIES_PER_HOUR 1;除了MAX_QUERIES_PER_HOUR，還可以指定MAX_CONNECTIONS_PER_HOUR、MAX_UPDATES_PER_HOUR和MAX_USER_CONNECTIONS。對(duì)于前3個(gè)指定，如果值等于0，就沒有限制會(huì)起作用。用戶和數(shù)據(jù)安全性要從一個(gè)用戶回收權(quán)限，但不從USER表中刪除該用戶，可以使用REVOKE語句，這條語句和GRANT語句格式相似，但具有相反的效果。要使用REVOKE，用戶必須擁有mysql數(shù)據(jù)庫(kù)的全局CREATE USER權(quán)限或UPDATE權(quán)限。語法格式：REVOKE priv_type (colu

23、mn_list) , priv_type (column_list) . ON tbl_name | * | *.* | db_name.* FROM user , user .或者：REVOKE ALL PRIVILEGES, GRANT OPTION FROM user , user .說明：第一種格式用來回收某些特定的權(quán)限，第二種格式回收所有該用戶的權(quán)限?！纠?.14】 回收用戶David在XS表上的SELECT權(quán)限。REVOKE SELECT ON XS FROM Davidlocalhost;由于David用戶對(duì)XS表的SELECT權(quán)限被回收了，那么包括直接或間接地依賴于它的所有權(quán)限

24、也回收了，在這個(gè)例子中，Jim也失去了對(duì)XS表的SELECT權(quán)限。但以上語句執(zhí)行之后WITH GRANT OPTION還保留，當(dāng)再次授予David對(duì)于同一個(gè)表的表權(quán)限時(shí)，它會(huì)立刻把這個(gè)權(quán)限傳遞給Jim。用戶和數(shù)據(jù)安全性除了命令行方式，可以通過界面方式來操作用戶與權(quán)限，具體步驟如下。（1）打開MySQL Administrator，以ROOT用戶登錄。進(jìn)入主界面后單擊User Administration欄，界面左下方會(huì)出現(xiàn)MySQL的用戶列表，如圖9.2所示。圖9.2 用戶列表用戶和數(shù)據(jù)安全性（2）添加用戶。單擊圖9.2中的Add new user按鈕，在User Information欄上填

25、寫用戶名tony和密碼，單擊“Apply Changes”按鈕即可創(chuàng)建新用戶。隨后，界面左下方的用戶列表中就會(huì)新添加一個(gè)tony用戶，如圖9.3所示。刪除用戶的方法很簡(jiǎn)單，右擊用戶名，選擇“Delete User”即可刪除該用戶。圖9.3 創(chuàng)建新用戶用戶和數(shù)據(jù)安全性（3）授予用戶權(quán)限。以tony用戶為例，tony用戶創(chuàng)建完后并沒有授予其任何權(quán)限，要授予其權(quán)限，步驟為：選擇tony，單擊Schema Privileges欄，選擇要授予權(quán)限的數(shù)據(jù)庫(kù)，在Available Privileges框中會(huì)出現(xiàn)權(quán)限列表，選擇相應(yīng)權(quán)限，單擊“”按鈕即可?！啊笔侨∠袡?quán)限。最后單擊“Apply Changes

26、”按鈕完成用戶權(quán)限授予。圖9.4 授予權(quán)限用戶和數(shù)據(jù)安全性9.4.1 ANALYZE TABLE語句語句在一個(gè)定義了索引的列上，該列上不同值的數(shù)目被稱為該索引列的可壓縮性，可以使用SHOW INDEX FROM tb_name語句來顯示它。一個(gè)索引列的可壓縮性不是自動(dòng)更新的。就是說，用戶在某列創(chuàng)建了一個(gè)索引，而該列的可壓縮性是不會(huì)立即計(jì)算出來的。這時(shí)需要使用ANALYZE TABLE語句來更新它。語法格式：ANALYZE LOCAL | NO_WRITE_TO_BINLOG TABLE tbl_name , tbl_name .在MySQL上執(zhí)行的所有更新都將寫入到一個(gè)二進(jìn)制日志文件中。這里如

27、果直接使用ANALYZE TABLE語句，結(jié)果數(shù)據(jù)也會(huì)寫入日志文件中。如果指定了NO_ERITE_TO_BINLOG選項(xiàng)，則關(guān)閉這個(gè)功能（LOCAL是NO_ERITE_TO_BINLOG的同義詞），這樣ANALYZE TABLE語句也將會(huì)更快完成?！纠?.15】 更新表XS的索引的可壓縮性，并隨后顯示。ANALYZE TABLE XS;SHOW INDEX FROM XS;用戶和數(shù)據(jù)安全性這條語句用來檢查一個(gè)或多個(gè)表是否有錯(cuò)誤，只對(duì)MyISAM和InnoDB表起作用。語法格式：CHECK TABLE tbl_name , tbl_name . option .其中，option為：QUICK

28、| FAST | MEDIUM | EXTENDED | CHANGED說明：使用該語句有多個(gè)選項(xiàng)。 QUICK：不掃描行，不檢查錯(cuò)誤的鏈接，這是最快的方法。 FAST：檢查表是否已經(jīng)正確關(guān)閉。 CHANGED：檢查上次檢查后被更改的表，以及沒有被正確關(guān)閉的表。 MEDIUM：掃描行，以驗(yàn)證被刪除的鏈接是有效的。也可以計(jì)算各行的關(guān)鍵字校驗(yàn)和，并使用計(jì)算出的校驗(yàn)和驗(yàn)證這一點(diǎn)。 EXTENDED：對(duì)每行的所有關(guān)鍵字進(jìn)行全面的關(guān)鍵字查找。這可以確保表是100一致的，但是花的時(shí)間較長(zhǎng)。【例9.16】 檢查XS表是否正確。CHECK TABLE XS;結(jié)果為：用戶和數(shù)據(jù)安全性對(duì)于數(shù)據(jù)庫(kù)中的每一個(gè)表，都可以使用CHECKSUM TABLE語句獲得一個(gè)校驗(yàn)和。語法格式：CHECKSUM TABLE tbl_name , tbl_name . QUICK | EXTENDED 說明：如果表是MyISAM表，如果指定了QUICK，則報(bào)告表校驗(yàn)和，否則報(bào)告NULL。指定EXTEND