适合,但必须跳过“直接给 root 密码连上就开干”的陷阱——MySQL 权限管理本身不难,难的是默认配置和常见误操作会立刻让你卡在
Access denied或
SELECT command denied上,新手往往以为是语法错,其实是权限没配对。
为什么新手一上来就该学权限管理?
因为不设权限,等于没装锁;设错权限,等于把钥匙扔在门口。真实开发中,90% 的连接失败、查询报错、部署失败,根源不是 SQL 写得不对,而是用户没被授予对应数据库/表的
SELECT、
INSERT或甚至
USAGE权限。 本地开发用
root@localhost能跑通,换到测试环境用
app_user@'192.168.5.%'就连不上——主机名(host)不匹配,权限表里根本没这条记录 执行
GRANT SELECT ON mydb.* TO 'user'@'localhost';后仍报错?忘了
FLUSH PRIVILEGES;(MySQL 8.0+ 大多自动刷新,但低版本或特殊部署仍需手动) 用
CREATE USER 'u'@'%';创建用户却无法登录?因为没指定
IDENTIFIED BY,密码为空或无效,且 MySQL 8.0+ 默认拒绝空密码
新手必须掌握的 4 条最小权限命令
别背全部权限列表,先焊死这四条高频场景对应的语句,覆盖 80% 日常需求:
CREATE USER 'dev_user'@'localhost' IDENTIFIED BY 'P@ssw0rd2026'; CREATE DATABASE app_db CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci; GRANT SELECT, INSERT, UPDATE ON app_db.* TO 'dev_user'@'localhost'; FLUSH PRIVILEGES;
CREATE USER:必须带
@'host',
'localhost'≠
'127.0.0.1'(MySQL 视为两个不同用户)
GRANT ... ON database.*:星号前是数据库名,后面加
.*表示“这个库下所有表”,漏掉点号会变成全局权限写法
*.*,极其危险 新手常误写成
GRANT ALL ON app_db TO ...—— 缺少
.*,实际授的是数据库级管理权限(如
CREATE TABLE),但不包含表内数据操作权限
FLUSH PRIVILEGES在 MySQL 5.7 及更早版本中必须执行;8.0+ 一般不需要,但遇到权限不生效时,先敲它总没错
最容易被忽略的权限细节:host 白名单才是第一道门
权限判断顺序是:先看能不能连进来(
user+
host匹配
mysql.user表),再看能干什么(查
mysql.db、
mysql.tables_priv等)。很多新手查了半天
GRANT没问题,结果发现
SELECT user, host FROM mysql.user;根本没自己创建的那行记录——因为
CREATE USER失败了,或者创建时用了
'user'@'%'却从
localhost连,而 MySQL 优先匹配更具体的 host(
localhost比
%更具体),导致找不到可用账户。 本地开发,无脑用
'user'@'localhost'允许远程连接,不要用
'user'@'%',改用
'user'@'192.168.1.%'或具体 IP(MySQL 8.0+ 支持 CIDR) 确认当前连接来源:进 MySQL 后执行
SELECT USER(), CURRENT_USER();,前者是你“声称”的用户,后者是服务器“认可”的用户——两者不一致,说明 host 匹配出错了
权限不是越细越好,也不是越宽越省事。新手真正要练的,是每次建用户后立刻用新账号登录、切换库、试一条
SELECT和一条
INSERT——只有眼见为实的操作反馈,才能把抽象的
GRANT和真实的报错联系起来。其他所有概念,都是在这之后才开始有意义的。
