在 MySQL 中,GRANT 命令用于为用户分配特定的数据库权限。正确使用 GRANT 可以确保用户只能访问其需要的数据,同时保障系统安全。
基本语法结构
GRANT 命令的基本格式如下:
GRANT 权限类型 ON 数据库名.表名 TO '用户名'@'客户端地址' [IDENTIFIED BY '密码'];
说明:
权限类型:如 SELECT、INSERT、UPDATE、DELETE、ALL PRIVILEGES 等。 数据库名.表名:指定权限作用范围,可用 * 代表所有数据库或所有表。 '用户名'@'客户端地址':定义用户及其允许登录的主机,如 'user1'@'localhost' 或 'user1'@'%' IDENTIFIED BY 可选,用于在授权时设置或修改密码。常见权限示例
以下是一些常用权限配置场景:
授予本地用户对某个数据库的全部权限:GRANT ALL PRIVILEGES ON mydb.* TO 'devuser'@'localhost';允许远程用户查询特定表:
GRANT SELECT ON mydb.users TO 'reporter'@'192.168.1.%';赋予用户增删改查权限但不含DDL操作:
GRANT SELECT, INSERT, UPDATE, DELETE ON mydb.orders TO 'appuser'@'10.%';全局权限:允许管理员从任意位置登录并管理所有数据库:
GRANT ALL PRIVILEGES ON *.* TO 'admin'@'%' IDENTIFIED BY 'securepass';
刷新权限并验证
执行 GRANT 后,必须让权限生效:
运行FLUSH PRIVILEGES;使更改立即生效(某些情况下自动触发,但手动执行更稳妥)。 可通过以下命令查看用户权限:
SHOW GRANTS FOR '用户名'@'客户端地址';
撤销权限与注意事项
若需收回权限,使用 REVOKE 命令:
REVOKE DELETE ON mydb.* FROM 'devuser'@'localhost';
注意点:
谨慎使用 ON *.* 和 @'%',避免过度授权带来安全风险。 生产环境中避免使用 IDENTIFIED BY 在 GRANT 中明文写密码,建议先创建用户再授权。 MySQL 8.0+ 推荐使用 CREATE USER 显式创建用户后再 GRANT。 基本上就这些,掌握好 GRANT 能有效控制数据库访问安全。
