当前位置: 首页
数据库
MySQL创建只读账号的权限设置方法

MySQL创建只读账号的权限设置方法

热心网友 时间:2026-07-17
转载

MySQL创建只读账号:库表级别授予SELECT,并单独授予USAGE连接权限。库名含特殊字符用反引号,跨库JOIN需显式授权;MySQL8 0+需额外授权INFORMATION_SCHEMA;CREATEUSER与GRANT分两步;只读账号无法执行SELECT FORUPDATE。

MySQL权限体系基于白名单机制,创建只读账号的核心在于明确允许用户读取哪些内容,而非限制其写入操作。掌握这一原则,众多权限配置难题将迎刃而解。

在MySQL中如何创建具有受限权限的只读账号?

值得注意的是,GRANT SELECT ON *.*看似授予全局读权限,实则暗藏风险——它将暴露mysqlperformance_schema等系统库的表结构。真正的只读账号应精确限定库表范围,例如使用GRANT SELECT ON mydb.*。这个细节不容忽视。

GRANT SELECT必须明确指定库表范围,不能仅依赖未授予写权限来确保安全

几个看似简单、却经常翻车的坑值得警惕:

  • 当库名包含特殊字符(如my-db)时,使用单引号包裹的'my-db'.*会导致语法错误。正确的做法是采用反引号,即`my-db`.*,或直接避免使用带特殊字符的库名。
  • 跨库JOIN查询是常见的隐藏陷阱。例如,执行SELECT * FROM db1.t1 JOIN db2.t2时,若仅对db1授予SELECT权限而忽略db2,查询将报错。必须对两个库均显式执行GRANT SELECT
  • 部分管理员误以为通过REVOKE INSERT可以强化只读安全,实则多余——未授予的权限原本就不存在,且回收操作容易遗漏TRUNCATELOCK TABLES等隐式写操作。权限管理中,采用加法原则(只授予必要权限)比减法更可靠。

USAGE权限必须单独授予,否则用户无法建立连接

GRANT SELECT仅控制可执行的操作,并不决定用户能否登录。这好比给了你钥匙,却未告知门的位置。

若缺少USAGE权限,即使密码验证通过,连接也会立即断开,并报错ERROR 1045 (28000): Access denied。在MySQL 8.0及以上版本中,USAGE不会自动随GRANT SELECT授予,因此必须显式添加。

  • 补充授权语句:GRANT USAGE ON *.* TO 'ro_user'@'192.168.10.%'
  • USAGE是纯连接权限,不赋予任何实际操作能力,需与SELECT分开授予
  • 主机名请勿使用'%'开放所有IP,生产环境应限定内网网段,例如'192.168.10.%'

SHOW CREATE TABLE失败?需显式授予INFORMATION_SCHEMA权限

许多ORM框架、监控工具或DBA在查询表结构时会调用SHOW CREATE TABLE t1。该语句底层依赖于information_schema.TABLESinformation_schema.COLUMNSSELECT权限。MySQL 5.7默认允许此操作,但8.0及以上版本已严格收紧。

若仅授予业务库权限,执行SHOW CREATE TABLE将返回错误:ERROR 1142 (42000): SELECT command denied

  • 解决方案:GRANT SELECT ON INFORMATION_SCHEMA.* TO 'ro_user'@'192.168.10.%'
  • 无需开放performance_schemasys的全部权限,除非确实需要访问其视图。

CREATE USER与GRANT需分两步执行,不可合并为一条语句

从MySQL 5.7开始,CREATE USER语句不再支持同时携带GRANT子句。合并书写会直接触发语法错误:ERROR 1064 (42000): You have an error in your SQL syntax

  • 正确操作分为两步:首先执行CREATE USER 'ro_user'@'192.168.10.%' IDENTIFIED BY 'strong-pass-2024';,随后执行GRANT SELECT ON myapp_db.* TO 'ro_user'@'192.168.10.%';
  • 密码需用单引号包裹,且不能为纯数字或过于简单的字符串。MySQL 8.0+默认启用密码强度校验,弱密码会被拒绝创建。
  • 执行完GRANT后无需手动运行FLUSH PRIVILEGES,因为GRANT语句会自动刷新权限缓存,除非你直接修改了mysql.user表。

最后,还有一个易被忽略的要点:只读账号能否执行SELECT ... FOR UPDATE?答案是不能——该语句会触发锁机制,实际需要SELECTLOCK TABLES双重权限,而只读账号缺少后者,执行将直接报错ERROR 1142。但需要警惕的是,如果用户持有EXECUTE权限,或能够访问SQL SECURITY DEFINER视图,仍可能间接触发写操作。权限的边界,远比表面上复杂。

来源:https://www.php.cn/faq/2820072.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
SQL Server并行聚合配置最佳实践指南:提升分析性能

SQL Server并行聚合配置最佳实践指南:提升分析性能

SQLServer并行聚合由查询优化器根据MAXDOP与并行成本阈值自动决定。默认阈值5及统计信息过期可能阻止并行。调优需按负载分层,同步更新统计信息,并关注重复值分布不均及排序操作导致的串行瓶颈。注意调整MAXDOP参数以适应不同负载。

时间:2026-07-18 06:57
如何快速诊断与定位MongoDB分片集群的性能瓶颈节点

如何快速诊断与定位MongoDB分片集群的性能瓶颈节点

定位MongoDB分片集群核心瓶颈时,首先使用mongostat监控连接数、读写队列及页错误,接着通过db serverStatus()深入分析锁争用和内存压力,同时用netstat交叉验证网络连接层状况,最后借助mongotop找出热点集合,从而快速精准锁定问题节点。

时间:2026-07-18 06:57
在phpMyAdmin中为字段添加注释提高数据库可读性

在phpMyAdmin中为字段添加注释提高数据库可读性

在phpMyAdmin中,通过表结构的Comment输入框可为字段添加注释,支持修改和新建字段时填写。导出SQL需勾选Displaycomments,否则注释丢失。注释长度限1024字节(约200汉字),超长会被截断,避免使用特殊字符。注释不自动同步至应用代码,需团队配合维护。

时间:2026-07-18 06:56
用SQL聚合函数检测数据集中的高偏离度记录

用SQL聚合函数检测数据集中的高偏离度记录

使用窗口函数可标记单行偏离度,其中PERCENT_RANK()识别分布两端异常,PERCENTILE_CONT()计算IQR阈值稳健过滤,LAG()检测相邻跳变。需先清洗数据,避免空值或重复时间戳干扰。这些方法适用于时序数据分析,能有效提升异常检测准确性。

时间:2026-07-18 06:56
phpMyAdmin修改默认字符集排序规则为utf8mb4

phpMyAdmin修改默认字符集排序规则为utf8mb4

修改MySQL服务端配置文件,设置服务器字符集为utf8mb4,排序规则为utf8mb4_unicode_ci,重启。phpMyAdmin新建库表时选此排序规则,已有表修改并勾选更改所有列。字段级需单独设置字符集,应用连接层需设置连接字符集,确保全系统统一。

时间:2026-07-18 06:56
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜