为除一个/几个表之外的所有表授予 [几乎] 所有 mySQL 权限

【问题标题】:Grant [almost] all mySQL privileges for all but one/a few tables为除一个/几个表之外的所有表授予 [几乎] 所有 mySQL 权限
【发布时间】:2012-04-18 02:18:57
【问题描述】:

问题:

我怎样才能为新用户提供几乎所有权限,但仍保护一个或多个表/数据库不受这些权限的影响。

详情:

如果我有一个数据库,

  • life

还有三张桌子

  • passwords
  • friends
  • hobbies

我如何给这个用户,例如,以下权限:

  • 插入
  • 更新
  • 删除
  • 创建
  • 丢弃
  • 改变

关于前三个,我会这样开始:

GRANT INSERT, UPDATE, DELETE ON life.friends TO username@'localhost' IDENTIFIED BY 'password';
GRANT INSERT, UPDATE, DELETE ON life.hobbies TO username@'localhost' IDENTIFIED BY 'password';

但我对如何使用CREATEDROP 感到困惑。如果我像这样授予整个数据库的删除权限:

GRANT DROP ON life TO username@'localhost' IDENTIFIED BY 'password';

然后用户可以删除我不想要的passwords 表。我可以改为根据如下表格授予它:

GRANT DROP ON life.friends TO username@'localhost' IDENTIFIED BY 'password';
GRANT DROP ON life.hobbies TO username@'localhost' IDENTIFIED BY 'password';

但是如果我像这样授予CREATE 权限会发生什么:

GRANT CREATE ON life TO username@'localhost' IDENTIFIED BY 'password';

这是否意味着用户甚至不能删除他/她创建的表?我的问题还与创建/删除数据库有关。如果我想允许用户创建和删除尽可能多的他们自己的数据库,但不是life数据库怎么办?

我是否应该通过将passwords 表移动到另一个数据库来改变我的方法?

先谢谢你了。

【问题讨论】:

  • 独立的数据库是要走的路。 MySql 权限是有限的。他们不允许deny 特权。
  • @TheScrumMeister 如果您发布它,我会接受它作为答案
  • 它不是一个完整的答案;-)。作为处理过 MySql 权限的人,这是我遇到的(许多)限制之一。
  • 您对此有什么吸引力吗?
  • @MikePurcell 有点。我为CREATE/DROP 权限使用单独的数据库,使用GRANT 授予用户对特定列的访问权限,并使用VIEWS 授予用户仅对特定行的访问权限。

标签: mysql database


【解决方案1】:

@TheScrumMeister 建议使用单独数据库的替代方法是定义一个包装 CREATE TABLE 的过程,同时授予调用用户 DROP 权限:

DELIMITER ;;

CREATE PROCEDURE create_table(
  tbl_name VARCHAR(64) -- maximum length of a table name
) BEGIN
  DECLARE EXIT HANDLER FOR SQLEXCEPTION ROLLBACK;
  START TRANSACTION;
    SET @usr = SUBSTRING_INDEX(USER(), '@', 1);  -- invoking username
    SET @tbl = REPLACE(tbl_name, "`", "``");     -- prevent SQL injection

    -- just create some dummy table initially - the user can modify it after
    SET @qry = CONCAT("
      CREATE TABLE `", @tbl, "` (
        id INT NOT NULL AUTO_INCREMENT PRIMARY KEY
      );
    ");
    PREPARE stmt FROM  @qry;
    EXECUTE stmt;
    DEALLOCATE PREPARE stmt;

    -- now grant DROP to the invoking user but only from localhost
    SET @qry = CONCAT("
      GRANT DROP ON life.`", @tbl, "`
      TO CONCAT(?, \"@'localhost'\") IDENTIFIED BY 'password';
    ");
    PREPARE stmt FROM  @qry;
    EXECUTE stmt USING @usr;
    DEALLOCATE PREPARE stmt;

    -- clean up
    SET @qry = NULL;
    SET @usr = NULL;
  COMMIT;
END;;

DELIMITER ;

为了确保用户不会以任何其他方式创建表,他们不应拥有CREATE TABLE 权限。

你也可以对数据库做类似的事情。

【讨论】:

  • 我从没想过。谢谢
猜你喜欢
  • 2020-05-29
  • 2019-01-07
  • 2012-02-19
  • 2015-09-07
  • 2020-11-22
  • 2012-07-20
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode