一、權(quán)限簡(jiǎn)介

    權(quán)限主要是為了用戶(hù)能在一定范圍內(nèi)進(jìn)行操作。

二、創(chuàng)建權(quán)限

grant all privileges on db_name.tb_name to user_name@'login_address' [identified by "密碼"] [with grant option];

    all: 該用戶(hù)的權(quán)限，如我們只授予部分權(quán)限，直接替代all即可。

    db_naem.tb_name: 數(shù)據(jù)庫(kù).數(shù)據(jù)表,如果我們不指定的話(huà)，我們可以直接使用*.*。

    user_name: 要?jiǎng)?chuàng)建的用戶(hù)名.當(dāng)用戶(hù)名存在的時(shí)候會(huì)給存在的用戶(hù)重新授權(quán)，當(dāng)用戶(hù)不存在的時(shí)候會(huì)創(chuàng)建用戶(hù)并給予相對(duì)應(yīng)的權(quán)限。

    login_address: 該用戶(hù)連接的ip地址。如果是不設(shè)置直接使用%,有時(shí)候，我們使用的%表示鏈接地址，但是用戶(hù)在本地是無(wú)法連接的，則在重新添加一個(gè)localhost的權(quán)限。

    identified by "密碼": 該用戶(hù)的登陸密碼。

    with grant option: 將自己擁有的權(quán)限授權(quán)給別人。

三、基本操作

    1.增加權(quán)限

grant ALTER,SELECT on *.* to qq@'localhost' identified by "123456" with grant option;

    2.刪除權(quán)限

revoke delete on *.* from 'qq'@'localhost';
drop user 'qq'@'localhost';

    3.重置權(quán)限

// 修改用戶(hù)名稱(chēng)
rename user 'qq'@'%' to 'jim'@'%'; 
// 修改用戶(hù)密碼
SET PASSWORD FOR 'qq'@'localhost' = PASSWORD('123456');
mysqladmin -uqq -p123456 password 1234abcd
update user set PASSWORD = PASSWORD('1234abcd') where user = 'qq';

     4.查詢(xún)權(quán)限

show grants for 'qq'@'%';

    *有時(shí)我們對(duì)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行了操作,但還是不能達(dá)到我們的效果，則可以使用強(qiáng)制刷新

flush privileges;

四、權(quán)限維護(hù)

     權(quán)限控制主要是出于安全因素，因此需要遵循一下幾個(gè)經(jīng)驗(yàn)原則：

    1、只授予能滿(mǎn)足需要的最小權(quán)限，防止用戶(hù)干壞事。比如用戶(hù)只是需要查詢(xún)，那就只給select權(quán)限就可以了，不要給用戶(hù)賦予update、insert或者delete權(quán)限。

    2、創(chuàng)建用戶(hù)的時(shí)候限制用戶(hù)的登錄主機(jī)，一般是限制成指定IP或者內(nèi)網(wǎng)IP段。

    3、初始化數(shù)據(jù)庫(kù)的時(shí)候刪除沒(méi)有密碼的用戶(hù)。安裝完數(shù)據(jù)庫(kù)的時(shí)候會(huì)自動(dòng)創(chuàng)建一些用戶(hù)，這些用戶(hù)默認(rèn)沒(méi)有密碼。

    4、為每個(gè)用戶(hù)設(shè)置滿(mǎn)足密碼復(fù)雜度的密碼。

    5、定期清理不需要的用戶(hù)?；厥諜?quán)限或者刪除用戶(hù)。