mysql如何用sql语句添加账号

词语解释：grant ：授予，授权

privileges：特权

*.*（数据库名.表名）：所有数据库下的所有表mysql>grant 权限1,权限2,…权限n on 数据库名称.表名称 to 用户名@用户地址 identified by ‘连接口令’

权限1,权限2,…权限n代表select,insert,update,delete,create,drop,index,alter,grant,references,reload,shutdown,process,file等14个权限。

当权限1,权限2,…权限n被all privileges或者all代替，表示赋予用户全部权限。

当数据库名称.表名称被*.*代替，表示赋予用户 *** 作服务器上所有数据库所有表的权限。

用户地址可以是localhost，也可以是ip地址、机器名字、域名。也可以用’%'表示从任何地址连接。

‘连接口令’不能为空，否则创建失败。

例如：

mysql>grant select,insert,update,delete,create,drop on vtdc.employee to joe@10.163.225.87 identified by ‘123′

给来自10.163.225.87的用户joe分配可对数据库vtdc的employee表进行select,insert,update,delete,create,drop等 *** 作的权限，并设定口令为123。

mysql>grant all privileges on vtdc.* to joe@10.163.225.87 identified by ‘123′

给来自10.163.225.87的用户joe分配可对数据库vtdc所有表进行所有 *** 作的权限，并设定口令为123。

mysql>grant all privileges on *.* to joe@10.163.225.87 identified by ‘123′

给来自10.163.225.87的用户joe分配可对所有数据库的所有表进行所有 *** 作的权限，并设定口令为123。

mysql>grant all privileges on *.* to joe@localhost identified by ‘123′

给本机用户joe分配可对所有数据库的所有表进行所有 *** 作的权限，并设定口令为123。mysql>grant all privileges on *.* to joe@"%" identified by ‘123′

给用户joe分配在任何主机上均可对所有数据库的所有表进行所有 *** 作的权限，并设定口令为123。mysql>GRANT ALL PRIVILEGES ON *.* TO 'monty'@'localhost' IDENTIFIED BY 'some_pass' WITH GRANT OPTION给用户直接分配grant权限

添加完用户后要: mysql>flush privileges本文转自： http://hi.baidu.com/tonyty163/blog/item/1f06e509a6021f9c0a7b8273.html

分类: 电脑/网络 >>程序设计 >>其他编程语言

问题描述:

1.如何用sql语句添加数据库用户/密码?

2.如何用SQL语句修改数据库用户/密码?

谢谢!

解析:

sp_addlogin [ @loginame = ] 'login'

[ , [ @passwd = ] 'password' ]

[ , [ @defdb = ] 'database' ]

[ , [ @deflanguage = ] 'language' ]

[ , [ @sid = ] sid ]

[ , [ @encryptopt = ] 'encryption_option' ]

参数

[@loginame =] 'login'

登录的名称。login 的数据类型为 sysname，没有默认设置。

[@passwd =] 'password'

登录密码。password 的数据类型为 sysname，默认设置为 NULL。sp_addlogin 执行后，password 被加密并存储在系统表中。

[@defdb =] 'database'

登录的默认数据库（登录后登录所连接到的数据库）。database 的数据类型为 sysname，默认设置为 master。

[@deflanguage =] 'language'

用户登录到 SQL Server 时系统指派的默认语言。language 的数据类型为 sysname，默认设置为 NULL。如果没有指定 language，那么 language 被设置为服务器当前的默认语言（由 sp_configure 配置变量 default language 定义）。更改服务器的默认语言不会更改现有登录的默认语言。language 保持与添加登录时所使用的默认语言相同。

[@sid =] sid

安全标识号 (SID)。sid 的数据类型为 varbinary(16)，默认设置为 NULL。如果 sid 为 NULL，则系统为新登录生成 SID。尽管使用 varbinary 数据类型，非 NULL 的值也必须正好为 16 个字节长度，且不能事先存在。SID 很有用，例如，如果要编写 SQL Server 登录脚本，或要将 SQL Server 登录从一台服务器移动到另一台，并且希望登录在服务器间具有相同的 SID 时。

[@encryptopt =] 'encryption_option'

指定当密码存储在系统表中时，密码是否要加密。encryption_option 的数据类型为 varchar(20)，可以是下列值之一。

值 描述

NULL 加密密码。这是默认设置。

skip_encryption 密码已加密。SQL Server 应该存储值而且不用重新对其加密。

skip_encryption_old 已提供的密码由 SQL Server 较早版本加密。SQL Server 应该存储值而且不用重新对其加密。此选项只供升级使用。

返回代码值

0（成功）或 1（失败）

SQL注入是:

许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问)，根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。

网站的恶梦——SQL注入

SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。

防御SQL注入有妙法

第一步：很多新手从网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用 来防止别人进行手动注入测试。可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟，你的管理员账号及密码就会被分析出来。

第二步：对于注入分析器的防范，笔者通过实验，发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在 *** 作过程中，发现软件并不是冲着“admin”管理员账号去的，而是冲着权限(如flag=1)去的。这样一来，无论你的管理员账号怎么变都无法逃过检测。

第三步：既然无法逃过检测，那我们就做两个账号，一个是普通的管理员账号，一个是防止注入的账号，为什么这么说呢?笔者想，如果找一个权限最大的账号制造假象，吸引软件的检测，而这个账号里的内容是大于千字以上的中文字符，就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。

1.对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255(其实也够了，如果还想做得再大点，可以选择备注型)，密码的字段也进行相同设置。

2.对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符(最好大于100个字)。

3.把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上)。

我们通过上面的三步完成了对数据库的修改。

这时是不是修改结束了呢?其实不然，要明白你做的ID1账号其实也是真正有权限的账号，现在计算机处理速度那么快，要是遇上个一定要将它算出来的软件，这也是不安全的。我想这时大多数人已经想到了办法，对，只要在管理员登录的页面文件中写入字符限制就行了!就算对方使用这个有上千字符的账号密码也会被挡住的，而真正的密码则可以不受限制。

---