2.4 不用GRANT設(shè)置用戶
如果你有一個早于3.22.11的MySQL版本，你不能使用GRANT（或REVOKE）語句設(shè)置用戶及其訪問權(quán)限，但你可以直接修改授權(quán)表的內(nèi)容。如果你理解GRANT語句如何修改授權(quán)表，這很容易。那么你通過手工發(fā)出INSERT語句就能自己做同樣的事情。

當(dāng)你發(fā)出一條GRANT語句時，你指定一個用戶名和主機名，可能還有口令。對該用戶生成一個user表記錄，并且這些值記錄在User、Host和Password列中。如果你在GRANT語句中指定全局權(quán)限，這些權(quán)限記錄在記錄的權(quán)限列中。其中要留神的是GRANT語句為你加密口令，而INSERT不是，你需要在INSERT中使用PASSWORD()函數(shù)加密口令。

如果你指定數(shù)據(jù)庫級權(quán)限，用戶名和主機名被記錄在db表的User和Host列。你為其授權(quán)的數(shù)據(jù)庫記錄在Db列中，你授予的權(quán)限記錄在權(quán)限列中。

對于表級和列級權(quán)限，效果是類似的。在tables_priv和columns_priv表中創(chuàng)建記錄以記錄用戶名、主機名和數(shù)據(jù)庫，還有相關(guān)的表和列。授予的權(quán)限記錄在權(quán)限列中。

如果你還記得前面的介紹，你應(yīng)該能即使不用GRANT語句也能做GRANT做的事情。記住在你直接修改授權(quán)表時，你將通知服務(wù)器重載授權(quán)表，否則他不知道你的改變。你可以執(zhí)行一個mysqladmin flush-privileges或mysqladmin reload命令強迫一個重載。如果你忘記做這個，你會疑惑為什么服務(wù)器不做你想做的事情。

下列GRANT語句創(chuàng)建一個擁有所有權(quán)的超級用戶。包括授權(quán)給別人的能力：

GRANT ALL ON *.* TO anyname@localhost IDENTIFIED BY "passwd"
WITH GRANT OPTION
該語句將在user表中為anyname@localhost創(chuàng)建一個記錄，打開所有權(quán)限，因為這里是超級用戶（全局）權(quán)限存儲的地方，要用INSERT語句做同樣的事情，語句是：

INSERT INTO user VALUES("localhost","anyname",PASSWORD("passwd"),
"Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y")
你可能發(fā)現(xiàn)它不工作，這要看你的MySQL版本。授權(quán)表的結(jié)構(gòu)已經(jīng)改變而且你在你的user表可能沒有14個權(quán)限列。用SHOW COLUMNS找出你的授權(quán)表包含的每個權(quán)限列，相應(yīng)地調(diào)整你的INSERT語句。 下列GRANT語句也創(chuàng)建一個擁有超級用戶身份的用戶，但是只有一個單個的權(quán)限：

GRANT RELOAD ON *.* TO flush@localhost IDENTIFIED BY "flushpass"
本例的INSERT語句比前一個簡單，它很容易列出列名并只指定一個權(quán)限列。所有其它列將設(shè)置為缺省的"N"：

INSERT INTO user (Host,Password,Reload) VALUES("localhost","flush",PASSWORD("flushpass"),"Y")
數(shù)據(jù)庫級權(quán)限用一個ON db_name.*子句而不是ON *.*進行授權(quán)：

GRANT ALL ON sample.* TO boris@localhost IDENTIFIED BY "ruby"
這些權(quán)限不是全局的，所以它們不存儲在user表中，我們?nèi)匀恍枰�在user表中創(chuàng)建一條記錄（使得用戶能連接），但我們也需要創(chuàng)建一個db表記錄記錄數(shù)據(jù)庫集權(quán)限：

INSERT INTO user (Host,User,Password) VALUES("localhost","boris",PASSWORD("ruby"))

INSERT INTO db VALUES("localhost","sample_db","boris","Y","Y","Y","Y","Y","Y","N","Y","Y","Y")

"N"列是為GRANT權(quán)限；對末尾的一個數(shù)據(jù)庫級具有WITH GRANT OPTION的GRANT語句，你要設(shè)置該列為"Y"。

要設(shè)置表級或列級權(quán)限，你對tables_priv或columns_priv使用INSERT語句。當(dāng)然，如果你沒有GRANT語句，你將沒有這些表，因為它們在MySQL中同時出現(xiàn)。如果你確實有這些表并且為了某些原因想要手工操作它們，要知道你不能用單獨的列啟用權(quán)限。

你設(shè)置tables_priv.Table_priv或columns_priv.Column_priv列來設(shè)置包含你想啟用的權(quán)限值。例如，要對一個表啟用SELECT和INSERT權(quán)限，你要在相關(guān)的tables_priv的記錄中設(shè)置Table_priv為"Select,Insert"。

如果你想對一個擁有MySQL賬號的用戶修改權(quán)限，使用UPDATE而不是INSERT，不管你增加或撤銷權(quán)限都是這樣。要完全刪除一個用戶，從用戶使用的每個表中刪除記錄。

如果你愿意避免發(fā)一個查詢來直接修改全權(quán)表，你可以看一下MySQL自帶的mysqlaccess和mysql_setpermissions腳本。



附錄1 小測驗
在你剛剛新安裝了一個MySQL服務(wù)器，在你增加了一個允許連接MySQL的用戶，用下列語句：

GRANT ALL ON samp_db.* TO fred@*.snake.net IDENTIFIED "cocoa"

而fred碰巧在服務(wù)器主機上有個賬號，所以他試圖連接服務(wù)器：

%mysql -u fred -pcocoa samp_db
ERROR 1045: Access denied for user: 'fred@localhost' (Using password: YES)

為什么？

原因是：

先考慮一下mysql_install_db如何建立初始權(quán)限表和服務(wù)器如何使用user表記錄匹配客戶連接。在你用mysql_install_db初始化你的數(shù)據(jù)庫時，它創(chuàng)建類似這樣的user表：

Host User
localhost
pit.snake.net
localhost
pit.snake.net root
root



頭兩個記錄允許root指定localhost或主機名連接本地服務(wù)器，后兩個允許匿名用戶從本地連接。當(dāng)增加fred用戶后，

Host User
localhost
pit.snake.net
localhost
pit.snake.net
%.snake.net root
root


fred

在服務(wù)器啟動時，它讀取記錄并排序它們（首先按主機，然后按主機上的用戶），越具體越排在前面：

Host User
localhost
localhost
pit.snake.net
pit.snake.net
%.snake.net root

root

fred

有l(wèi)ocalhost的兩個記錄排在一起，而對root的記錄排在第一，因為它比空值更具體。pit.snake.net的記錄也類似。所有這些均是沒有任何通配符的字面上的Host值，所以它們排在對fred記錄的前面，特別是匿名用戶排在fred之前。

結(jié)果是在fred試圖從localhost連接時，Host列中的一個空用戶名的記錄在包含%.snake.net的記錄前匹配。該記錄的口令是空的，因為缺省的匿名用戶沒有口令。因為在fred連接時指定了一個口令，由一個錯配且連接失敗。

這里要記住的是，雖然用通配符指定用戶可以從其連接的主機是很方便。但你從本地主機連接時會有問題，只要你在table表中保留匿名用戶記錄。

一般地，建議你刪除匿名用戶記錄：

mysql> DELETE FROM user WHERE User="";

更進一步，同時刪除其他授權(quán)表中的任何匿名用戶，有User列的表有db、tables_priv和columns_priv。

附錄2 使一個新的MySQL安裝更安全
在你自己安裝了一個新的MySQL服務(wù)器后，你需要為MySQL的root用戶指定一個目錄（缺省無口令），否則如果你忘記這點，你將你的MySQL處于極不安全的狀態(tài)（至少在一段時間內(nèi)）。

在Unix（Linux）上，在按照手冊的指令安裝好MySQL后，你必須運行mysql_install_db腳本建立包含授權(quán)表的mysql數(shù)據(jù)庫和初始權(quán)限。在Windows上，運行分發(fā)中的Setup程序初始化數(shù)據(jù)目錄和mysql數(shù)據(jù)庫。假定服務(wù)器也在運行。

當(dāng)你第一次在機器上安裝MySQL時，mysql數(shù)據(jù)庫中的授權(quán)表是這樣初始化的：

你可以從本地主機（localhost）上以root連接而不指定口令。root用戶擁有所有權(quán)限（包括管理權(quán)限）并可做任何事情。（順便說明，MySQL超級用戶與Unix超級用戶有相同的名字，他們彼此毫無關(guān)系。）
匿名訪問被授予用戶可從本地連接名為test和任何名字以test_開始的數(shù)據(jù)庫。匿名用戶可對數(shù)據(jù)庫做任何事情，但無管理權(quán)限。
從本地主機多服務(wù)器的連接是允許的，不管連接的用戶使用一個localhost主機名或真實主機名。如：

% mysql -h localhost test

% mysql -h pit.snake.net test

你以root連接MySQL甚至不指定口令的事實只是意味著初始安裝不安全，所以作為管理員的你首先要做的應(yīng)該是設(shè)置root口令，然后根據(jù)你設(shè)置口令使用的方法，你也可以告訴服務(wù)器重載授權(quán)表是它知道這個改變。（在服務(wù)器啟動時，它重載表到內(nèi)存中而可能不知道你已經(jīng)修改了它們。）

對MySQL 3.22和以上版本，你可以用mysqladmin設(shè)置口令：

% mysqladmin -u root password yourpassword

對于MySQL的任何版本，你可以用mysql程序并直接修改mysql數(shù)據(jù)庫中的user授權(quán)表：

% mysql -u root mysql
mysql>UPDATE user SET password=PASSWORD("yourpassword") WHERE User="root";

如果你有MySQL的老版本，使用mysql和UPDATE。

在你設(shè)置完口令后，通過運行下列命令檢查你是否需要告訴服務(wù)器重載授權(quán)表：

% mysqladmin -u root status

如果服務(wù)器仍然讓你以root而不指定口令而連接服務(wù)器，重載授權(quán)表：

% mysqladmin -u root reload

在你設(shè)置了root的口令后（并且如果需要重載了授權(quán)表），你將需要在任何時候以root連接服務(wù)器時指定口令。（出處：熱點網(wǎng)絡(luò)）