導讀:1建站知識MySQL安全性指南 (2)（轉）seo網站關鍵詞優化網站seo優化課程。

正在看的ORACLE教程是:MySQL安全性指南 (2)（轉）。 MySQL安全性指南(2)    作 者： 晏子2.1.3 數據庫和表權限下列權限運用于數據庫和表上的操作。ALTER允許你使用ALTER TABLE語句，這其實是一個簡單的第一級權限，你必須由其他權限，這看你想對數據庫實施什么操作。 CREATE允許你創建數據庫和表，但不允許創建索引。 DELETE允許你從表中刪除現有記錄。 DROP允許你刪除（拋棄）數據庫和表，但不允許刪除索引。 INDEX允許你創建并刪除索引。 REFERENCES目前不用。 SELECT允許你使用SELECT語句從表中檢索數據。對不涉及表的SELECT語句就不必要，如SELECT NOW()或SELECT 4/2。 UPDATE允許你修改表中的已有的記錄。 2.1.4 管理權限下列權限運用于控制服務器或用戶授權能力的操作的管理性操作。FILE允許你告訴服務器讀或寫服務器主機上的文件。該權限不應該隨便授予，它很危險，見“回避授權表風險”。服務器確實較謹慎地保持在一定范圍內使用該權限。你只能讀任何人都能讀的文件。你正在寫的文件必須不是現存的文件，這防止你迫使服務器重寫重要文件，如/etc/passwd或屬于別人的數據庫的數據目錄。如果你授權FILE權限，確保你不以UNIX的root用戶運行服務器，因為root可在文件系統的任何地方創建新文件。如果你以一個非特權網站建設公司用戶運行服務器，服務器只能在給用戶能訪問的目錄中創建文件。GRANT允許你將你自己的權限授予別人，包括GRANT。 PROCESS允許你通過使用SHOW PROCESS語句或mysqladmin process命令查看服務器內正在運行的線程（進程）的信息。這個權限也允許你用KILL語句或mysqladmin kill命令殺死線程。你總是能看到或殺死你自己的線程。PR建設網站公司OCESS權限賦予你對任何線程做這些事情的能力。RELOAD允許你執行大量的服務器管理操作。你可以發出FLUSH語句，你也能指性mysqladmin的reload、refresh、flush-hosts、flush-logs、flush-privileges和flush-tables等命令。 SHUTDOWN允許你用mysqladmin shutdown關閉服務器。 在user、db和host表中，每一個權限以一個單獨的列指定。這些列全部聲明為一個ENUM("N","Y")類型，所以每個權的缺省值是“N”。在tables_priv和columns_priv中的權限以一個SET表示，它允許權限用一個單個列以任何組合指定。這兩個表比其他三個表更新，這就是為什么它們使用更有效的表示方式的原因。（有可能在未來，user、db和host表也用一個SET類型表示。）在tables_priv表中的Table_priv列被定義成：SET(Select,Insert,Update,Delete,Create,Drop,Grant,References,Index,Alter)在coloums_priv表中的Column_priv列被定義成：　 SET(Select,Insert,Update,References)列權限比表權限少，因為列級較少的權限有意義。例如你能創建一個表，但你不能創建一個孤立的列。user表包含某些在其他授權表不存在的權限的列：File_priv、Process_priv、Reload_priv和Shutdown_priv。這些權限運用于你讓服務器執行的與任何特定數據庫或表不相關的操作。如允許一個用戶根據當前數據庫是什么來關閉數據庫是毫無意義的。2.2 服務器如何控制客戶訪問在你使用MySQL時，客戶訪問控制有兩個階段。第一階段發生在你試圖連接服務器時。服務器查找user表看它是否能找到一個條目匹配你的名字、你正在從那兒連接的主機和你提供的口令。如果沒有匹配，你就不能連接。如果有一個匹配，建立連接并繼續第二階段。在這個階段，對于每一個你發出的查詢，服務器檢查授權表看你是否有足夠的權限執行查詢，第二階段持續到你與服務器對話的結束。本小節詳細介紹MySQL服務器用于將授權表條目匹配到來的連接請求或查詢的原則，這包括在授權表范圍列中合法的值的類型、結合授權表中的權限信息的方式和表中條目被檢查的次序。2.2.1 范圍列內容一些范圍列要求文字值，但它們大多數允許通配符或其他特殊值。Host 一個Host列值可以是一個主機名或一個IP地址。值localhost意味著本地主機，但它只在你用一個localhost主機名時才匹配，而不是你在使用主機名時。假如你的本地主機名是pit.snake.net并且在user表中有對你的兩條記錄，一個有一個Host值或localhost，而另一個有pit.snake.net，有localhost的記錄將只當你連接localhost時匹配，其他在只在連接pit.snake.net時才匹配。如果你想讓客戶能以兩種方式連接，你需要在user表中有兩條記錄。你也可以用通配符指定Host值。可以使用SQL的模式字符“%”和“_”并具有當你在一個查詢中使用LIKE算符同樣的含義（不允許regex算符）。 SQL模式字符都能用于主機名和IP地址。如%wisc.edu匹配任何wisc.edu域內的主機，而%.edu匹配任何教育學院的主機。類似地，192.168.%匹配任何在192.168 B類子網的主機，而192.168.3.%匹配任何在1網站建設制作92.168.3 C類子網的主機。%值匹配所有主機，并可用于允許一個用戶從任何地方連接。一個空白的Host值等同于%。（例外：在db表中，一個空白Host值含義是“進一步檢查host表”，該過程在“查詢訪問驗證”中介紹。）從MySQL 3.23起，你也可以指定帶一個表明那些為用于網絡地址的網絡掩碼的IP地址，如192.168.128.0/17指定一個17位網絡地址并匹配其IP地址是192.168128前17位的任何主機。User 用戶名必須是文字的或空白。一個空白值匹配任何用戶。%作為一個User值不意味著空白，相反它匹配一個字面上的%名字，這可能不是你想要的。當一個到來的連接通過user表被驗證而匹配的記錄包含一個空白的User值，客戶被認為是一個匿名用戶。 Password 口令值可以是空或非空，不允許用通配符。一個空口令不意味著匹配任何口令，它意味著用戶必須不指定口令。口令以一個加密過的值存儲，不是一個字面上的文本。如果你在Password列中存儲一個照字面上的口令，用戶將不能連接！GRANT語句和mysqladmin password命令為你自動加密口令，但是如果你用諸如INSERT、REPLACE、UPDATE或SET PASSWORD等命令，一定要用PASSWORD("new_password")而不是簡單的"new_password"來指定口令。 Db在columns_priv和tables_priv表中，Db值必須是真正的數據庫名（照字面上），不允許模式和空白。在db和host中，Db值可以以字面意義指定或使用SQL模式字符%或_指定一個通配符。一個%或空白匹配任何數據庫。 Table_name，Column_name這些列中的值必須是照字面意思的表或列名，不允許模式和空白。某些范圍列被服務器視為大小寫敏感的，其余不是。這些原則總結在下表中。特別注意Table_name值總是被看作大小寫敏感的，即使在查詢中的表名的大小寫敏感性對待視服務器運行的主機的文件系統而定（UNIX下是大小寫敏感，而Windows不是）。表3 授權表范圍列的大小寫敏感性 列HostUserPasswordDbTable_nameColumn_name大小寫敏感性NoYesYesYesYesNo2.2.2 查詢訪問驗證每次你發出一個查詢，服務器檢查你是否有足夠的權限執行它，它以user、db、tables_priv和columns_priv的順序檢查，知道它確定你有適當的訪問權限或已搜索所有表而一無所獲。更具體的說：服務器檢查user表匹配你開始連接的記錄以查看你有什么全局權限。如果你有并且它們對查詢足夠了，服務器則執行它。 如果你的全局權限不夠，服務器為你在db表中尋找并將該記錄中的權限加到你的全局權限中。如果結果對查詢足夠，服務器

關鍵詞標簽: 標簽 SQL 安全性