MySQL创建只读账号的权限设置方法
MySQL创建只读账号:库表级别授予SELECT,并单独授予USAGE连接权限。库名含特殊字符用反引号,跨库JOIN需显式授权;MySQL8 0+需额外授权INFORMATION_SCHEMA;CREATEUSER与GRANT分两步;只读账号无法执行SELECT FORUPDATE。
MySQL权限体系基于白名单机制,创建只读账号的核心在于明确允许用户读取哪些内容,而非限制其写入操作。掌握这一原则,众多权限配置难题将迎刃而解。

值得注意的是,GRANT SELECT ON *.*看似授予全局读权限,实则暗藏风险——它将暴露mysql、performance_schema等系统库的表结构。真正的只读账号应精确限定库表范围,例如使用GRANT SELECT ON mydb.*。这个细节不容忽视。
GRANT SELECT必须明确指定库表范围,不能仅依赖未授予写权限来确保安全
几个看似简单、却经常翻车的坑值得警惕:
- 当库名包含特殊字符(如
my-db)时,使用单引号包裹的'my-db'.*会导致语法错误。正确的做法是采用反引号,即`my-db`.*,或直接避免使用带特殊字符的库名。 - 跨库JOIN查询是常见的隐藏陷阱。例如,执行
SELECT * FROM db1.t1 JOIN db2.t2时,若仅对db1授予SELECT权限而忽略db2,查询将报错。必须对两个库均显式执行GRANT SELECT。 - 部分管理员误以为通过
REVOKE INSERT可以强化只读安全,实则多余——未授予的权限原本就不存在,且回收操作容易遗漏TRUNCATE、LOCK TABLES等隐式写操作。权限管理中,采用加法原则(只授予必要权限)比减法更可靠。
USAGE权限必须单独授予,否则用户无法建立连接
GRANT SELECT仅控制可执行的操作,并不决定用户能否登录。这好比给了你钥匙,却未告知门的位置。
若缺少USAGE权限,即使密码验证通过,连接也会立即断开,并报错ERROR 1045 (28000): Access denied。在MySQL 8.0及以上版本中,USAGE不会自动随GRANT SELECT授予,因此必须显式添加。
- 补充授权语句:
GRANT USAGE ON *.* TO 'ro_user'@'192.168.10.%' USAGE是纯连接权限,不赋予任何实际操作能力,需与SELECT分开授予- 主机名请勿使用
'%'开放所有IP,生产环境应限定内网网段,例如'192.168.10.%'
SHOW CREATE TABLE失败?需显式授予INFORMATION_SCHEMA权限
许多ORM框架、监控工具或DBA在查询表结构时会调用SHOW CREATE TABLE t1。该语句底层依赖于information_schema.TABLES和information_schema.COLUMNS的SELECT权限。MySQL 5.7默认允许此操作,但8.0及以上版本已严格收紧。
若仅授予业务库权限,执行SHOW CREATE TABLE将返回错误:ERROR 1142 (42000): SELECT command denied。
- 解决方案:
GRANT SELECT ON INFORMATION_SCHEMA.* TO 'ro_user'@'192.168.10.%' - 无需开放
performance_schema或sys的全部权限,除非确实需要访问其视图。
CREATE USER与GRANT需分两步执行,不可合并为一条语句
从MySQL 5.7开始,CREATE USER语句不再支持同时携带GRANT子句。合并书写会直接触发语法错误:ERROR 1064 (42000): You have an error in your SQL syntax。
- 正确操作分为两步:首先执行
CREATE USER 'ro_user'@'192.168.10.%' IDENTIFIED BY 'strong-pass-2024';,随后执行GRANT SELECT ON myapp_db.* TO 'ro_user'@'192.168.10.%'; - 密码需用单引号包裹,且不能为纯数字或过于简单的字符串。MySQL 8.0+默认启用密码强度校验,弱密码会被拒绝创建。
- 执行完
GRANT后无需手动运行FLUSH PRIVILEGES,因为GRANT语句会自动刷新权限缓存,除非你直接修改了mysql.user表。
最后,还有一个易被忽略的要点:只读账号能否执行SELECT ... FOR UPDATE?答案是不能——该语句会触发锁机制,实际需要SELECT与LOCK TABLES双重权限,而只读账号缺少后者,执行将直接报错ERROR 1142。但需要警惕的是,如果用户持有EXECUTE权限,或能够访问SQL SECURITY DEFINER视图,仍可能间接触发写操作。权限的边界,远比表面上复杂。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
SQL Server并行聚合配置最佳实践指南:提升分析性能
SQLServer并行聚合由查询优化器根据MAXDOP与并行成本阈值自动决定。默认阈值5及统计信息过期可能阻止并行。调优需按负载分层,同步更新统计信息,并关注重复值分布不均及排序操作导致的串行瓶颈。注意调整MAXDOP参数以适应不同负载。
如何快速诊断与定位MongoDB分片集群的性能瓶颈节点
定位MongoDB分片集群核心瓶颈时,首先使用mongostat监控连接数、读写队列及页错误,接着通过db serverStatus()深入分析锁争用和内存压力,同时用netstat交叉验证网络连接层状况,最后借助mongotop找出热点集合,从而快速精准锁定问题节点。
在phpMyAdmin中为字段添加注释提高数据库可读性
在phpMyAdmin中,通过表结构的Comment输入框可为字段添加注释,支持修改和新建字段时填写。导出SQL需勾选Displaycomments,否则注释丢失。注释长度限1024字节(约200汉字),超长会被截断,避免使用特殊字符。注释不自动同步至应用代码,需团队配合维护。
用SQL聚合函数检测数据集中的高偏离度记录
使用窗口函数可标记单行偏离度,其中PERCENT_RANK()识别分布两端异常,PERCENTILE_CONT()计算IQR阈值稳健过滤,LAG()检测相邻跳变。需先清洗数据,避免空值或重复时间戳干扰。这些方法适用于时序数据分析,能有效提升异常检测准确性。
phpMyAdmin修改默认字符集排序规则为utf8mb4
修改MySQL服务端配置文件,设置服务器字符集为utf8mb4,排序规则为utf8mb4_unicode_ci,重启。phpMyAdmin新建库表时选此排序规则,已有表修改并勾选更改所有列。字段级需单独设置字符集,应用连接层需设置连接字符集,确保全系统统一。
- 热门数据榜
1
2
3
4
5
6
7
8
9
10
相关攻略
2026-07-18 06:57
2026-07-18 06:57
2026-07-18 06:56
2026-07-18 06:56
2026-07-18 06:56
2026-07-18 06:56
2026-07-18 06:55
2026-07-18 06:55
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程

