如何用phpmyadmin设置mysql数据库用户的权限

安装好以后，来到 phpMyAdmin 的首页如下图所示：

二、创建用户（如何您之前已经创建好用户，可以省略这一步）

点击上图所示的权限后，可以看到如下图所示：

点击“添加新用户”这个连接，添加一个新的数据库用户名

如下图所示：

三、权限设置

如下图所示：

编辑 hellen 这个用户的权限

如下图所示：

其中增加用户的同时也可以填写用户的权限，也可以添加完用户以后再编辑用户的权限

下面对这些权限进行详细的描述：

1、数据部分

SELECT：是指允许读取数据

INSERT：是指允许插入和替换数据

UPDATE：是指允许更改数据

DELETE：是指允许删除数据

FILE：是指允许从数据中导入数据，以及允许将数据导出至文件

2、结构部分

CTEATE：允许创建新的数据库和表

ALTER：允许修改现有表的结构

INDEX：允许创建和删除索引

DROP：允许删除数据库和表

CREATE TEMPORARY TABLES：允许创建暂时表

CREATE VIEW：允许创建新的视图

SHOW VIEW：允许查询试图

CREATE ROUTINE：允许创建新的存储过程

ALTER ROUTINE：允许修改存储过程

EXECUTE：允许执行查询

管理和资源限制这里不详细说明了，一般是管理员 root 帐号全部有的权限，上面所讲的是普通的用户权限。

四、重新加载授权表

修改完用户权限以后需要回到 phpMyAdmin 的首页，重新加载一下授权

如下图所示：

只要了解用户的权限设置，相信您对数据库的管理 *** 作一定会得心应手了。

方法如下：

修改mysql 存储过程的definer

修改mysqlproc表 的definer字段

update mysqlproc set definer='root@%' where db='servant_591up'; UPDATE `mysql``proc` SET `definer`='root00@%' WHERE `db`='test' AND `name`='jjjj' AND `type`='PROCEDURE'; UPDATE `mysql``proc` SET `definer`='wtc_678869@%' WHERE `db`='servant_591up' AND `type`='PROCEDURE';

2修改sql security

ALTER PROCEDURE >

（1）MySQL存储过程是通过指定SQL SECURITY子句指定执行存储过程的实际用户；

（2）如果SQL SECURITY子句指定为DEFINER，存储过程将使用存储过程的DEFINER执行存储过程，验证调用存储过程的用户是否具有存储过程的execute权限和DEFINER用户是否具有存储过程引用的相关对象的权限；

（3）如果SQL SECURITY子句指定为INVOKER，那么MySQL将使用当前调用存储过程的用户执行此过程，并验证用户是否具有存储过程的execute权限和存储过程引用的相关对象的权限；

（4）如果不显示的指定SQL SECURITY子句，MySQL默认将以DEFINER执行存储过程。

3执行存储过程授权

GRANT EXECUTE ON test TO 'wtc'@'%'； GRANT CREATE ROUTINE,ALTER ROUTINE, SELECT,CREATE, INSERT, UPDATE, DELETE, EXECUTE ON test TO 'wtc'@'%' IDENTIFIED BY '111111'

CREATE ROUTINE ： 创建存储过程的权限

ALTER ROUTINE ： 修改存储过程的权限

4删除用户

REVOKE  all ON test FROM wtc@'%'

DELETE FROM user WHERE User='user_name' and Host='host_name'; 

FLUSH PRIVILEGES;

好文要顶 关注我

一、用户管理

1、登录mysql

mysql –h hostname|hostIP –P port –u username –p DatabaseName –e "SQL语句"

比如

mysql -uroot -p -hlocalhost -P3306 mysql -e "select host,user from user"

-h参数 后面接主机名或者主机IP，hostname为主机，hostIP为主机IP。

-P参数 后面接MySQL服务的端口，通过该参数连接到指定的端口。MySQL服务的默认端口是3306，

不使用该参数时自动连接到3306端口，port为连接的端口号。

-u参数 后面接用户名，username为用户名。

-p参数 会提示输入密码。

DatabaseName参数 指明登录到哪一个数据库中。如果没有该参数，就会直接登录到MySQL数据库

中，然后可以使用USE命令来选择数据库。

-e参数 后面可以直接加SQL语句。登录MySQL服务器以后即可执行这个SQL语句，然后退出MySQL

服务器。

2、创建用户

CREATE USER 用户名 [IDENTIFIED BY '密码'][,用户名 [IDENTIFIED BY '密码']];

比如

CREATE USER 'kangshifu'@'localhost' IDENTIFIED BY '123456';

用户名参数表示新建用户的账户，由 用户（User） 和 主机名（Host） 构成；

“[ ]”表示可选，也就是说，可以指定用户登录时需要密码验证，也可以不指定密码验证，这样用户

可以直接登录。不过，不指定密码的方式不安全，不推荐使用。如果指定密码值，这里需要使用

IDENTIFIED BY指定明文密码值。

CREATE USER语句可以同时创建多个用户。

3、更新用户

UPDATE mysqluser SET USER='li4' WHERE USER='wang5';

FLUSH PRIVILEGES;

4、删除用户

方式1：使用DROP方式删除（推荐）

使用DROP USER语句来删除用户时，必须用于DROP USER权限。DROP USER语句的基本语法形式如下

DROP USER user[,user]…;

比如

DROP USER li4 ; # 默认删除host为%的用户

DROP USER 'kangshifu'@'localhost';

方式2：使用DELETE方式删除

DELETE FROM mysqluser WHERE Host=’hostname’ AND User=’username’;

FLUSH PRIVILEGES;

比如

DELETE FROM mysqluser WHERE Host='localhost' AND User='Emily';

FLUSH PRIVILEGES;

注意：不推荐通过 DELETE FROM USER u WHERE USER='li4' 进行删除，系统会有残留信息保 留。而drop user命令会删除用户以及对应的权限，执行命令后你会发现mysqluser表和mysqldb表 的相应记录都消失了。

5、 设置当前用户密码

旧的写法

# 修改当前用户的密码：（MySQL57测试有效）

SET PASSWORD = PASSWORD('123456');

推荐写法

1 使用ALTER USER命令来修改当前用户密码 用户可以使用ALTER命令来修改自身密码，如下语句代表修 改当前登录用户的密码。基本语法如下：

ALTER USER USER() IDENTIFIED BY 'new_password';

2 使用SET语句来修改当前用户密码 使用root用户登录MySQL后，可以使用SET语句来修改密码，具体 SQL语句如下： 该语句会自动将密码加密后再赋给当前用户。

SET PASSWORD='new_password';

6、修改其他用户密码

1 使用ALTER语句来修改普通用户的密码 可以使用ALTER USER语句来修改普通用户的密码。基本语法形 式如下：

ALTER USER user [IDENTIFIED BY '新密码']

[,user[IDENTIFIED BY '新密码']]…;

2 使用SET命令来修改普通用户的密码 使用root用户登录到MySQL服务器后，可以使用SET语句来修改普 通用户的密码。SET语句的代码如下：

SET PASSWORD FOR 'username'@'hostname'='new_password';

3 使用UPDATE语句修改普通用户的密码（不推荐）

UPDATE MySQLuser SET authentication_string=PASSWORD("123456")

WHERE User = "username" AND Host = "hostname";

7、 MySQL8密码管理(了解

71、密码过期策略

在MySQL中，数据库管理员可以 手动设置 账号密码过期，也可以建立一个 自动 密码过期策略。 过期策略可以是 全局的 ，也可以为 每个账号 设置单独的过期策略

ALTER USER user PASSWORD EXPIRE;

比如

ALTER USER 'kangshifu'@'localhost' PASSWORD EXPIRE;

方式①：使用SQL语句更改该变量的值并持久化

SET PERSIST default_password_lifetime = 180; # 建立全局策略，设置密码每隔180天过期

方式②：配置文件mycnf中进行维护

[mysqld]

default_password_lifetime=180 #建立全局策略，设置密码每隔180天过期

手动设置指定时间过期方式2：单独设置

每个账号既可延用全局密码过期策略，也可单独设置策略。在 CREATE USER 和 ALTER USER 语句上加 入 PASSWORD EXPIRE 选项可实现单独设置策略。下面是一些语句示例。

#设置kangshifu账号密码每90天过期：

CREATE USER 'kangshifu'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;

ALTER USER 'kangshifu'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;

#设置密码永不过期：

CREATE USER 'kangshifu'@'localhost' PASSWORD EXPIRE NEVER;

ALTER USER 'kangshifu'@'localhost' PASSWORD EXPIRE NEVER;

#延用全局密码过期策略：

CREATE USER 'kangshifu'@'localhost' PASSWORD EXPIRE DEFAULT;

ALTER USER 'kangshifu'@'localhost' PASSWORD EXPIRE DEFAULT;

72、密码重置策略

手动设置密码重用：全局

方式1：使用sql

SET PERSIST password_history = 6; #设置不能选择最近使用过的6个密码

SET PERSIST password_reuse_interval = 365; #设置不能选择最近一年内的密码

方式2：配置文件

[mysqld]

password_history=6

password_reuse_interval=365

手动设置密码重用：单独设置

#不能使用最近5个密码：

CREATE USER 'kangshifu'@'localhost' PASSWORD HISTORY 5;

ALTER USER 'kangshifu'@'localhost' PASSWORD HISTORY 5;

#不能使用最近365天内的密码：

CREATE USER 'kangshifu'@'localhost' PASSWORD REUSE INTERVAL 365 DAY;

ALTER USER 'kangshifu'@'localhost' PASSWORD REUSE INTERVAL 365 DAY;

#既不能使用最近5个密码，也不能使用365天内的密码

CREATE USER 'kangshifu'@'localhost'

PASSWORD HISTORY 5

PASSWORD REUSE INTERVAL 365 DAY;

ALTER USER 'kangshifu'@'localhost'

PASSWORD HISTORY 5

PASSWORD REUSE INTERVAL 365 DAY;

二、权限管理

1、 权限列表

MySQL到底都有哪些权限呢？

mysql> show privileges;

（1） CREATE和DROP权限 ，可以创建新的数据库和表，或删除（移掉）已有的数据库和表。如果将 MySQL数据库中的DROP权限授予某用户，用户就可以删除MySQL访问权限保存的数据库。 （2） SELECT、INSERT、UPDATE和DELETE权限 允许在一个数据库现有的表上实施 *** 作。 （3） SELECT权限 只有在它们真正从一个表中检索行时才被用到。 （4） INDEX权限 允许创建或删除索引，INDEX适用于已 有的表。如果具有某个表的CREATE权限，就可以在CREATE TABLE语句中包括索引定义。 （5） ALTER权 限 可以使用ALTER TABLE来更改表的结构和重新命名表。 （6） CREATE ROUTINE权限 用来创建保存的 程序（函数和程序），ALTER ROUTINE权限用来更改和删除保存的程序， EXECUTE权限 用来执行保存的 程序。 （7） GRANT权限 允许授权给其他用户，可用于数据库、表和保存的程序。 （8） FILE权限 使用 户可以使用LOAD DATA INFILE和SELECT INTO OUTFILE语句读或写服务器上的文件，任何被授予FILE权 限的用户都能读或写MySQL服务器上的任何文件（说明用户可以读任何数据库目录下的文件，因为服务 器可以访问这些文件）。

2、 授予权限的原则

权限控制主要是出于安全因素，因此需要遵循以下几个 经验原则 ：

1、只授予能 满足需要的最小权限 ，防止用户干坏事。比如用户只是需要查询，那就只给select权限就可 以了，不要给用户赋予update、insert或者delete权限。

2、创建用户的时候 限制用户的登录主机 ，一般是限制成指定IP或者内网IP段。

3、为每个用户 设置满足密码复杂度的密码 。

4、 定期清理不需要的用户 ，回收权限或者删除用户。

3、 授予权限

给用户授权的方式有 2 种，分别是通过把 角色赋予用户给用户授权 和 直接给用户授权 。用户是数据库的 使用者，我们可以通过给用户授予访问数据库中资源的权限，来控制使用者对数据库的访问，消除安全 隐患。 授权命令：

GRANT 权限1,权限2,…权限n ON 数据库名称表名称 TO 用户名@用户地址 [IDENTIFIED BY ‘密码口令’];

比如给li4用户用本地命令行方式，授予atguigudb这个库下的所有表的插删改查的权限

GRANT SELECT,INSERT,DELETE,UPDATE ON atguigudb TO li4@localhost ;

比如授予通过网络方式登录的joe用户 ，对所有库所有表的全部权限，密码设为123。注意这里唯独不包

括grant的权限

GRANT ALL PRIVILEGES ON TO joe@'%' IDENTIFIED BY '123';

我们在开发应用的时候，经常会遇到一种需求，就是要根据用户的不同，对数据进行横向和纵向的 分组。 所谓横向的分组，就是指用户可以接触到的数据的范围，比如可以看到哪些表的数据；

所谓纵向的分组，就是指用户对接触到的数据能访问到什么程度，比如能看、能改，甚至是 删除。

4、 查看权限

查看当前用户权限

SHOW GRANTS;

# 或

SHOW GRANTS FOR CURRENT_USER;

# 或

SHOW GRANTS FOR CURRENT_USER();

查看某用户的全局权限

SHOW GRANTS FOR 'user'@'主机地址' ;

5、收回权限

收回权限就是取消已经赋予用户的某些权限。收回用户不必要的权限可以在一定程度上保证系统的安全 性。MySQL中使用 REVOKE语句 取消用户的某些权限。使用REVOKE收回权限之后，用户账户的记录将从 db、host、tables_priv和columns_priv表中删除，但是用户账户记录仍然在user表中保存（删除user表中 的账户记录使用DROP USER语句）。 注意：在将用户账户从user表删除之前，应该收回相应用户的所有权限。

REVOKE 权限1,权限2,…权限n ON 数据库名称表名称 FROM 用户名@用户地址;

比如

#收回全库全表的所有权限

REVOKE ALL PRIVILEGES ON FROM joe@'%';

#收回mysql库下的所有表的插删改查权限

REVOKE SELECT,INSERT,UPDATE,DELETE ON mysql FROM joe@localhost;

注意： 须用户重新登录后才能生效

三、权限表

1、user表

user表是MySQL中最重要的一个权限表， 记录用户账号和权限信息 ，有49个字段。如下图：

这些字段可以分成4类，分别是范围列（或用户列）、权限列、安全列和资源控制列

范围列（或用户列）

权限列

安全列

安全列只有6个字段，其中两个是ssl相关的（ssl_type、ssl_cipher），用于 加密 ；两个是x509 相关的（x509_issuer、x509_subject），用于 标识用户 ；另外两个Plugin字段用于 验证用户身份 的插件， 该字段不能为空。如果该字段为空，服务器就使用内建授权验证机制验证用户身份。

资源控制列

资源控制列的字段用来 限制用户使用的资源 ，包含4个字段，分别为： ①max_questions，用户每小时允许执行的查询 *** 作次数； ②max_updates，用户每小时允许执行的更新 *** 作次数； ③max_connections，用户每小时允许执行的连接 *** 作次数； ④max_user_connections，用户 允许同时建立的连接次数。 查看字段：

DESC mysqluser;

查看用户, 以列的方式显示数据： SELECT FROM mysqluser \G;

查询特定字段：

SELECT host,user,authentication_string,select_priv,insert_priv,drop_priv

FROM mysqluser;

2、db表

使用DESCRIBE查看db表的基本结构： DESCRIBE mysqldb;

1 用户列 db表用户列有3个字段，分别是Host、User、Db。这3个字段分别表示主机名、用户名和数据库 名。表示从某个主机连接某个用户对某个数据库的 *** 作权限，这3个字段的组合构成了db表的主键。

2 权限列 Create_routine_priv和Alter_routine_priv这两个字段决定用户是否具有创建和修改存储过程的权限。

3、 tables_priv表和columns_priv表

tables_priv表用来 对表设置 *** 作权限 ，columns_priv表用来对表的 某一列设置权限 。tables_priv表和 columns_priv表的结构分别如图： desc mysqltables_priv;

tables_priv表有8个字段，分别是Host、Db、User、Table_name、Grantor、Timestamp、Table_priv和 Column_priv，各个字段说明如下：

Host 、 Db 、 User 和 Table_name 四个字段分别表示主机名、数据库名、用户名和表名。

Grantor表示修改该记录的用户。

Timestamp表示修改该记录的时间。

Table_priv 表示对象的 *** 作权限。包括Select、Insert、Update、Delete、Create、Drop、Grant、

References、Index和Alter。

Column_priv字段表示对表中的列的 *** 作权限，包括Select、Insert、Update和References。

desc mysqlcolumns_priv;

4、 procs_priv表

procs_priv表可以对 存储过程和存储函数设置 *** 作权限 ，表结构如图： desc mysqlprocs_priv;

四、访问控制

1、连接核实阶段

当用户试图连接MySQL服务器时，服务器基于用户的身份以及用户是否能提供正确的密码验证身份来确 定接受或者拒绝连接。即客户端用户会在连接请求中提供用户名、主机地址、用户密码，MySQL服务器 接收到用户请求后，会使用user表中的host、user和authentication_string这3个字段匹配客户端提供信 息。 服务器只有在user表记录的Host和User字段匹配客户端主机名和用户名，并且提供正确的密码时才接受 连接。如果连接核实没有通过，服务器就完全拒绝访问；否则，服务器接受连接，然后进入阶段2等待 用户请求。

2、 请求核实阶段

一旦建立了连接，服务器就进入了访问控制的阶段2，也就是请求核实阶段。对此连接上进来的每个请 求，服务器检查该请求要执行什么 *** 作、是否有足够的权限来执行它，这正是需要授权表中的权限列发 挥作用的地方。这些权限可以来自user、db、table_priv和column_priv表。 确认权限时，MySQL首先 检查user表 ，如果指定的权限没有在user表中被授予，那么MySQL就会继续 检 查db表 ，db表是下一安全层级，其中的权限限定于数据库层级，在该层级的SELECT权限允许用户查看指 定数据库的所有表中的数据；如果在该层级没有找到限定的权限，则MySQL继续 检查tables_priv表 以 及 columns_priv表 ，如果所有权限表都检查完毕，但还是没有找到允许的权限 *** 作，MySQL将 返回错 误信息 ，用户请求的 *** 作不能执行， *** 作失败。

提示： MySQL通过向下层级的顺序（从user表到columns_priv表）检查权限表，但并不是所有的权 限都要执行该过程。例如，一个用户登录到MySQL服务器之后只执行对MySQL的管理 *** 作，此时只 涉及管理权限，因此MySQL只检查user表。另外，如果请求的权限 *** 作不被允许，MySQL也不会继 续检查下一层级的表。

五、角色管理

1、创建角色

CREATE ROLE 'role_name'[@'host_name'] [,'role_name'[@'host_name']]

角色名称的命名规则和用户名类似。如果 host_name省略，默认为% ， role_name不可省略 ，不可为 空。

练习：我们现在需要创建一个经理的角色，就可以用下面的代码：

CREATE ROLE 'manager'@'localhost';

2、给角色赋予权限

创建角色之后，默认这个角色是没有任何权限的，我们需要给角色授权。给角色授权的语法结构是：

GRANT privileges ON table_name TO 'role_name'[@'host_name'];

上述语句中privileges代表权限的名称，多个权限以逗号隔开。可使用SHOW语句查询权限名称，图11-43 列出了部分权限列表。

SHOW PRIVILEGES\G;

练习1：我们现在想给经理角色授予商品信息表、盘点表和应付账款表的只读权限，就可以用下面的代码 来实现：

GRANT SELECT ON demosettlement TO 'manager';

GRANT SELECT ON demogoodsmaster TO 'manager';

GRANT SELECT ON demoinvcount TO 'manager';

3、查看角色权限

赋予角色权限之后，我们可以通过 SHOW GRANTS 语句，来查看权限是否创建成功了：

只要你创建了一个角色，系统就会自动给你一个“ USAGE ”权限，意思是 连接登录数据库的权限 。代码的 最后三行代表了我们给角色“manager”赋予的权限，也就是对商品信息表、盘点表和应付账款表的只读权 限。 结果显示，库管角色拥有商品信息表的只读权限和盘点表的增删改查权限。

4、回收角色权限

角色授权后，可以对角色的权限进行维护，对权限进行添加或撤销。添加权限使用GRANT语句，与角色 授权相同。撤销角色或角色权限使用REVOKE语句。 修改了角色的权限，会影响拥有该角色的账户的权限。 撤销角色权限的SQL语法如下：

REVOKE privileges ON tablename FROM 'rolename';

练习：撤销school_write角色的权限。 （

（1）使用如下语句撤销school_write角色的权限。

REVOKE INSERT, UPDATE, DELETE ON school FROM 'school_write';

（2）撤销后使用SHOW语句查看school_write对应的权限，语句如下。

SHOW GRANTS FOR 'school_write';

5、删除角色

当我们需要对业务重新整合的时候，可能就需要对之前创建的角色进行清理，删除一些不会再使用的角 色。删除角色的 *** 作很简单，你只要掌握语法结构就行了。

DROP ROLE role [,role2]

注意， 如果你删除了角色，那么用户也就失去了通过这个角色所获得的所有权限 。 练习：执行如下SQL删除角色school_read。

DROP ROLE 'school_read';

6、给用户赋予角色

角色创建并授权后，要赋给用户并处于 激活状态 才能发挥作用。给用户添加角色可使用GRANT语句，语 法形式如下：

GRANT role [,role2,] TO user [,user2,];

在上述语句中，role代表角色，user代表用户。可将多个角色同时赋予多个用户，用逗号隔开即可。 练习：给kangshifu用户添加角色school_read权限。 （1）使用GRANT语句给kangshifu添加school_read权 限，SQL语句如下。

GRANT 'school_read' TO 'kangshifu'@'localhost';

（2）添加完成后使用SHOW语句查看是否添加成功，SQL语句如下。

SHOW GRANTS FOR 'kangshifu'@'localhost';

（3）使用kangshifu用户登录，然后查询当前角色，如果角色未激活，结果将显示NONE。SQL语句如 下。

SELECT CURRENT_ROLE();

7、激活角色

方式1：使用set default role 命令激活角色

SET DEFAULT ROLE ALL TO 'kangshifu'@'localhost';

使用 SET DEFAULT ROLE 为下面4个用户默认激活所有已拥有的角色如下：

SET DEFAULT ROLE ALL TO

'dev1'@'localhost',

'read_user1'@'localhost',

'read_user2'@'localhost',

'rw_user1'@'localhost';

方式2：将activate_all_roles_on_login设置为ON

show variables like 'activate_all_roles_on_login';

SET GLOBAL activate_all_roles_on_login=ON;

这条 SQL 语句的意思是，对 所有角色永久激活 。运行这条语句之后，用户才真正拥有了赋予角色的所有 权限。

8、撤销用户角色

REVOKE role FROM user;

练习：撤销kangshifu用户的school_read角色。 （1）撤销的SQL语句如下

REVOKE 'school_read' FROM 'kangshifu'@'localhost';

（2）撤销后，执行如下查询语句，查看kangshifu用户的角色信息

SHOW GRANTS FOR 'kangshifu'@'localhost';

9、设置强制角色

设置强制角色(mandatory role)

方式1：服务启动前设置

[mysqld]

mandatory_roles='role1,role2@localhost,r3@%atguigucom'

方式2：运行时设置

SET PERSIST mandatory_roles = 'role1,role2@localhost,r3@%examplecom'; #系统重启后仍然 有效 SET GLOBAL mandatory_roles = 'role1,role2@localhost,r3@%examplecom'; #系统重启后失效

这是oracle的an quan 机制，在存储过程或者函数中调用其他用户下的过程、表、函数等 一定要显式fu quan才可以，利用角色fu quan是不可以的。

因此：

为什么我在B用户下查询A用户的表，用sql语句可以直接查

===这个是角色fu quan导致的，比如B用户有数据库管理员角色

ORACLE数据库中的权限和角色

Oracle数据库是一种大型关系型的数据库，我们知道当使用一个数据库时，仅仅能够控制哪些人可以访问数据库，哪些人不能访问数据库是无法满足数据库访问控制的。DBA需要通过一种机制来限制用户可以做什么，不能做什么，这在Oracle中可以通过为用户设置权限来实现。权限就是用户可以执行某种 *** 作的权利。而角色是为了方便DBA管理权限而引入的一个概念，它实际上是一个命名的权限集合。

1 权限

Oracle数据库有两种途径获得权限，它们分别为：

① DBA直接向用户授予权限。

② DBA将权限授予角色(一个命名的包含多个权限的集合)，然后再将角色授予一个或多个用户。

使用角色能够更加方便和高效地对权限进行管理，所以DBA应该习惯于使用角色向用户进行授予权限，而不是直接向用户授予权限。

Oracle中的权限可以分为两类：

•系统权限

•对象权限

11 系统权限

系统权限是在数据库中执行某种 *** 作，或者针对某一类的对象执行某种 *** 作的权利。例如，在数据库中创建表空间的权利，或者在任何模式中创建表的权利，这些都属于系统权限。在Oracle9i中一共提供了60多种权限。

系统权限的权利很大，通常情况下：

① 只有DBA才应当拥有alter database系统权限，该权限允许用户对数据库物理结构和可用性进行修改。

② 应用程序开发者一般应该拥有Create Table、Create View和Create Type等系统权限，用于创建支持前端的数据库模式对象。

③ 普通用户一般只具有Create session系统权限(可以通过Connection角色获得)，只有Create Session系统权限的用户才能连接到数据库

④ 只有具有Grant Any PRivilege系统权限用户，或者获取了具有With Admin Option选项的系统权限的用户，才能够成为其它用户授予权限。

12对象权限

对象权限是针对某个特定的模式对象执行 *** 作的权利。只能针对模式对象来设置和管理对象权限。

对于模式对象：表、视图、序列、存储过程、存储函数、包都可以对象设置权限。不同类型模式对象具有不同的对象权限。比如，表、视图等对象具有查询(Select)、修改(Update)、删除(Delete)等对象权限，而存储过程、存储函数等对象则具有执行(Execute)等对象权限。

但是并不是所有的模式对象都可以设置对象权限。比如簇、索引、触发器以及数据库链接等模式就不具有对象权限。这些模式对象的访问控制是通过相应的系统权限来实现的，比如，要对索引进行修改，必须拥有Alter Any Index系统权限。

用户自动拥有他的模式中所有对象的全部对象权限，他可以将这些对象权限授予其他的用户或角色。比如，Test1用户创建了一个表Table1，在没有授权的情况下，用户Test2不能查询、修改、删除这个表。如果Test1将ETP表的Select对象权限授予了Test2，则该用户就可以查询Table1表了。如果在为其它用户授予对象权限时用了With Grant Option选项，被授予权限的用户还可以将这个权限在授予其他用户。

2 角色

21角色的概念

角色就是多个相关权限的命名集合。通过角色来进行对用户授予权限，可以大大简化DBA的工作量。比如，处于统一部门中的30多个用户都需要访问数据库中的一系列表，DBA可以将这些表的中合适的对象权限授予一个角色，然后在把这个角色授予这些用户，这样进行 *** 作要比为没有用户进行授权要便捷多了，而且要对这些用户的权限进行统一修改，只需要修改角色的权限即可。

22角色的优点

通过角色为用户授予权限,而不是直接向各个用户授权，具有以下优点：

•简化权限管理 DBA将用户群分类，然后为每一类用户创建角色，并将该角色授予这类用户所需要的权限，最后在将改角色授予该类中的各个用户。这样不仅简化了授权 *** 作，而且当这类用户的权限需求发生改变时，只需要把角色的权限进行改动，而不必修改每一位用户的权限。

•动态权限管理 角色可以被禁用或激活。当角色被禁止使用时，拥有该角色的用户不再拥有授予改角色的权限了。这样就可以对多个用户的权限进行动态控制了。

•灵活的编程能力 角色是存储在数据字典中的，并且可以为角色设置口令。这样就能够在应用程序中对角色进行控制。比如禁用或者激活等 *** 作。

下面以Oracle9i为例，给出具体的实现用户授权：

(1)设定各种角色,及其权限

CREATE ROLE checkerrole DENTIFIEDBYxm361001;

CREATE ROLE defaultrole IDENTIFIEDBYdefaultrole;

GRANT SELECT,UPDATE ON

accountpaytable TO checkerrole;

GRANT CONNECT TO defaultrole;

(2)创建用户

CREATE USER xiaoli IDENTIFIEDBY xiaoli;

(3)授权

GRANT checkerrole TO xiaoli;

GRANT defaultrole TO xiaoli;

(4)设定用户缺省的角色

ALTER USER xiaoli DEFAULTROLE defaultrole;

(5)注册过程

CONNECT xiaoli/xiaoli@oracle

此时用户只有其缺省角色的权限。

(6)激活角色

SET ROLE checkerrole IDENTIFIEDBY xm361001;

---- *** 作成功后，xiaoli拥有checkerrole的权限。

----这里的角色和口令是固定的，在应用系统中可以由应用管理人员自行设置则更为方便安全

;

一、必要性 随着近年来数据库技术的深入发展，以Unix平台为代表的Informix Dynamic Server和以NT平台为代表的MS SQL Server得到了广泛的应用。在一个公共的环境中，存在大量的用户 *** 作，有数据库管理员，主要做数据管理维护工作，也有普通用户，做一定授权下的数据修改和数据查询。我们知道，每个数据库服务器上可建立多个不同类别的数据库，而每个数据库中也可以生成多个存储过程、表、视图等。如何保证数据的安全可靠，防止非法存取所造成的破坏和数据泄露，如何进行权限的划分和设置，这是安全管理的重点，也是数据库可靠运行的保证。本文以Informix Dynamic Server为例做详细说明。 二、权限的划分 Informix Dynamic Server使用了三级权限来保证数据的安全性，它们分别是数据库级权限、表级权限和字段级权限，具体为： 1．数据库级权限 包括Connect、Resource、DBA三种类别，其中： Connect： 最低级，仅允许用户访问数据库中的表和索引，但不能创建和删除它们； Resource: 建立在Connect之上，允许用户在数据库中创建、删除表和索引； DBA： 即数据库管理员，拥有数据库管理的全部权限，包括访问数据库表、创建和删除索引、修改表结构、授予数据库权限给其他用户等。 2．表/字段（视图）级权限 指允许进行何种具体 *** 作，主要包括： Select: 从表或字段中检索信息； Update: 修改指定字段的值； Insert: 向数据库表中添加记录； Delete: 从数据库表中删除记录； Index: 为一个数据库表创建索引； Alter: 增加、删除数据库表中的字段，或修改字段的数据类型； All: 以上所有权限。 三、权限的设置 Informix Dynamic Server通过一系列SQL控制语句来实施对用户权限的设置，使得不同的用户只能在各自限定的范围内存取数据。以下命令格式中Grant表示授予权限，Revoke表示撤消权限，User-List指用户名列表，多个用户以逗号（，）分隔，对大多数数据库系统而言，PUBLIC代表所有用户。 1．对于数据库，其格式为： Revoke { DBA | Resource | Connect } from { PUBLIC | User-List } Revoke { DBA | Resource | Connect } from { PUBLIC | User-List } 缺省情况下，建立数据库的用户就是数据库管理员（DBA），除其本身和Informix用户外，其它用户不对该数据库拥有任何权限，因此也就不能进行任何形式的访问。数据库管理员可根据其他用户的业务分工、 *** 作范围授予或撤消DBA、Resource、Connect三种不同的权限。 2．对于表及视图，其格式为： Revoke TAB-PRI on [ tab_name | view_name ] from { PUBLIC | User-List } Revoke TAB-PRI on [ tab_name | view_name ] from { PUBLIC | User-List } 其中TAB_PRI表示select、update、delete等 *** 作权限，tab_name、 view_name分别代表数据库表名和视图名。 缺省情况下，新建的数据库表和视图对能够访问该数据库的用户赋予了除alter外的所有权限，有时这是比较危险的，比如对普通查询用户，应该有针对性地对权限重新定义。此外，对一些重要的表或视图，为防止敏感信息泄露，也应该重新授权。具体做法是：先用Revoke命令撤消原来所有的权限，再用Grant授予新的权限。 3．对于字段： 字段级权限的授予和撤消同表级的命令方式基本一致，所不同的仅在于必须把赋予权限的字段名列在 *** 作权限如select、insert、update等之后，通过这样细化可以实施更有效的数据保护。 4．对于存储过程： 存储过程由SQL语句编写，存放于数据库中，常与触发器配合，可以对数据进行批量处理，使用非常方便。但如果授权不严格，将导致非法修改现有数据。其权限设置格式为： Grant Execute on proc_name to { PUBLIC | User-List }； Revoke Execute on proc_name from { PUBLIC | User-List } 其中proc_name表示存储过程名。 四、角色(role)的使用 在数据库用户的管理中，我们可以根据用户对数据库数据的需要情况把用户分为几组，每一组用户可以作为一个"角色"，每个用户就是角色的成员。通过使用角色，数据库系统更容易进行安全性管理，因为一旦某个用户属于某一个角色，对权限的授予和撤消只需针对角色便可。具体使用方法为： 1．创建角色： Create Role role_name1 其中role_name1表示角色名。 2．划分用户角色： 即将相关用户加入到角色中使之成为角色的成员。 Grant role_name1 to { User-List | Role_List } 其中Role_List表示角色列表，因为一个角色可以是另外一个或一组角色的成员。 3．授权角色权限： 同授权用户权限的方法相同，但只能对表级和字段级权限有效，不能授予数据库级权限给一个角色。 4．激活角色： 执行以下语句，使以上定义的角色成为可用状态： Set Role role_name1 五、结束语 以Internet技术为代表的网络业务的迅猛增长为数据库应用开辟了新的发展空间，同时也对数据库的安全性管理提出了更高的要求，网络的开放性导致非法存取常有发生，因而深刻领会和理解数据库权限的具体设置方法，结合自身实际应用，制定出一套完整的安全保护策略具有重要意义。Informix Dynamic Server对以上控制语句的使用除角色外，严格执行SQL ANSI 标准，因此对建立在NT平台上的MS SQL Server同样有效 &мoО旒 2007-12-19 17:29 您觉得这个答案好不好？ 好(0)不好(0) 相关问题 数据库的访问权限都有什么 怎么修改数据库的用户权限！ 数据库是如何安装和设置的 数据库连接设置 固定服务器角色、固定数据库角色各有哪几类？有什么权限？ 标签：数据库 权限 设置 其他答案 如果是ORACLE数据库,这样可以分配权限: GRANT SELECT ON SALARIES TO JACK 给SALARIES中JACK用户的Connect角色赋予SELECT权限 例如：创建一张表和两个用户分给他们不同的角色和权限 CREATE TABLE SALARIES ( 2 NAME CHAR(30), 3 SALARY NUMBER, 4 AGE NUMBER); create user Jack identified by Jack create user Jill identified by Jill grant connect to Jack grant resource to Jill JILL 的角色为Resource你允许他对表进行选择和插入或严格一些允许JILL修改SALARIES表中SALARY字段的值 GRANT SELECT, UPDATE(SALARY) ON SALARIES TO Jill 执行：UPDATE BryanSALARIES SET SALARY = 35000 WHERE NAME = 'JOHN' 可以进行所有权限范围内的更新工作 使用表时的限制：SELECT FROM BryanSALARIES 对表使用用户名来加以标识

MySQL各种权限（共27个）

（以下 *** 作都是以root身份登陆进行grant授权，以p1@localhost身份登陆执行各种命令。）

1 usage

连接（登陆）权限，建立一个用户，就会自动授予其usage权限（默认授予）。

mysql> grant usage on to ‘p1′@’localhost’ identified by ‘123′;

该权限只能用于数据库登陆，不能执行任何 *** 作；且usage权限不能被回收，也即REVOKE用户并不能删除用户。

2 select

必须有select的权限，才可以使用select table

mysql> grant select on pyt to ‘p1′@’localhost’;

mysql> select from shop;

3 create

必须有create的权限，才可以使用create table

mysql> grant create on pyt to ‘p1′@’localhost’;

4 create routine

必须具有create routine的权限，才可以使用{create |alter|drop} {procedure|function}

mysql> grant create routine on pyt to ‘p1′@’localhost’;

当授予create routine时，自动授予EXECUTE, ALTER ROUTINE权限给它的创建者：

mysql> show grants for ‘p1′@’localhost’;

在企业的应用开发中，有一个临时表的概念，这个临时表式指业务上的临时表，而非sqlserver中的临时表，比如说，有一张正式表，他存有很大的数据量，查询频繁，我们就不希望频繁的向这张表插入数据(表很大，所以向它插记录会很慢)，这种情况下，就需要建一张物理上的表作为临时表，写记录的话先写在这张临时表上，再按照业务逻辑或时间间隔将临时表中的数据一次性导入到正式表之中，随后清空临时表，这样就降低了对正式表的 *** 作频率。为了最大限度的提高临时表的效率，所以清空临时表的时候不推荐使用Delete，而推荐使用TRUNCATE，这两者的区别可以baidu一下。但使用TRUNCATE会存在权限问题，如果一个用户权限不够，会无法执行SP。以下是详细的说明：我们当前以dbo用户登陆创建如下SP。CREATEPROCdboMyTruncateASTRUNCATETABLEdboMyTableGO随后再以另一个无权限 *** 作dboMyTable表的用户sbo登陆执行这个SP，sqlserver会报错说当前用户无权限 *** 作dboMyTable表。我们都知道，在SQL中，可以利用GRANT语句来为某个用户赋予某项权限。如GRANTEXECUTEON[dboMyTruncate]TO[sbo]即为用户[sbo]赋予数据库对象[dboBCFL_TempToTable]以权限EXECUTE。但是，GRANT所能赋予的权限是没有TRUNCATE的。要想可以TRUNCATE一张表，必须是拥有ALTER权限，但仅为执行TRUNCATE就赋予某位用户ALTER，不但没有必要，还会引起一些安全上的问题。TRUNCATE所需的最低权限是对table_name的ALTER权限。TRUNCATETABLE权限默认授予表所有者、sysadmin固定服务器角色的成员、db_owner和db_ddladmin固定数据库角色的成员，并且不可转移权限。定义自定义权限集时为模块指定执行上下文非常有用。例如，某些 *** 作（如TRUNCATETABLE）没有可授予的权限。若要执行TRUNCATETABLE，用户必须对指定表具有ALTER权限。授予用户对表的ALTER权限可能不是最佳方法，因为用户将拥有超出截断表的能力的权限。碰到这种问题，可以使用SQL提供的EXECUTEAS语句来达成目的。还是上边那个例子，让我们再以dbo用户登陆，创建另一个SP：CREATEPROCTruncateMyTableWITHEXECUTEASSELFASTRUNCATETABLEdboMyTable接着我们更改第一个SP为如下CREATEPROCdboMyTruncateASEXECdboTruncateMyTableGO随后赋予sbo有执行存储过程dboMyTruncate的权限。GRANTEXECUTEON[dboMyTruncate]TO[sbo]Ok，现在再以sbo用户登陆，看看是不是已经可以正确运行存储过程dbo希望这个小技巧可以帮助到您。O_o

以上就是关于如何用phpmyadmin设置mysql数据库用户的权限全部的内容，包括:如何用phpmyadmin设置mysql数据库用户的权限、如何修改mysql 存储过程权限、mysql中不能设置列的权限等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！