4.1数据库系统安全相关因素
1,外围网络
2,主机:
3,数据库本身
访问授权相关模块主要是由两部分组成:
一个是基本的用户管理模块:主要负责用户登录链接相关的基本权限控制
另外一个是访问授权控制模块:随时随地检查已经进门的访问者,校验他们是否 有访问所发出请求需要访问的数据的权限。通过校验者可顺利拿到数据,而未通过校验的访问者,只能收到“访问越权了”的相关反馈。
三道防线图:
4,代码:sql注入--危害很大,防不胜防
4.2权限系统简介
4.2.1,相关权限信息主要存储在几个被称为grant tables的系统表中。mysql.user,mysql.db,mysql.Host,mysql.table_priv,mysql.column_priv由于权限表数据量比较小,而且访问非常频繁,所以mysql在启动的时候就会将所有的权限信息Load到内存中,所以当我们手动修改权限后要执行FLUSH PRIVILEGES命令来重新加载mysql的权限信息。如果用GRANT,REVOKE,DROP USER不需要执行FLUSH PRIVILEGES,这个几个命令在修改表的时候,内存也进行了修改。CREATE USER来添加用户,注意新添加的用户仅有初始user权限,通过CREATE USER 命令也会更新内存。推荐使用GRANT,REVOKE,DROP USER,CREATE USER进行权限控制。
5.6以上不包含5.6 5.6以上包含5.6
4.2.2,权限授予与去除:
GRANT 授权
REVOKE 撤回权限
更新 GRANT TABLES系列表的。
给用户授权的时候,不仅需要指定用户名,还需要指定来访主机。如果仅仅指定用户名,则mysql则会认为是:'username'@'%'授权,要去除用户权限,同样也要指定来访主机。
查看某个用户权限:"SHOW GRANTS FOR 'username'@'hostname'; 查询 grant tables 系列表里的权限信息
4.2.3,权限级别:MySQL 中的权限分为五个级别
1,Global Level:全局控制权限,所有权限信息都保存在mysql.user表中。
作用域:所有权限是针对整个mysqld的,对于数据库下的所有表及所有字段都有效。
2,Global Level主要有如下权限:
3,要授予Global Level的权限,则只需要在执行GRANT命令的时候,用*.*来指定适用范围是Global即可,当有多个权限需要授予的时候,也并不需要多次授权,只需要将所有需要的权限通过逗号(,)隔开即可:例如:
GRANT SELECT,UPDATE,DELETE,INSERT ON *.* TO 'username'@'localhost';
4,Database Level
在Global Level之下,其他三个level之上
作用域:指定数据库下的所有对象
权限设置:与Global Level比,少了一下几个权限:CREATE USER,FILE,PROCESS,RELOAD,REPLICATION CLIENT,REPLICATION SLAVE,SHOW DATABASES,SHUTDOWN,SUPER,USEAGE,没有增加任何权限
实现方式:两种:
1,GRANT ALTER ON test.* to 'username'@'localhost';
2,USE DATABASENAME
GRANT DROP ON * TO 'username'@'locahost';
3,在授权的时候,如果授予多个用户相同的权限,则可以授权多个用户
GRANT CREATE ON test.* TO 'username1'@'localhost,'username2'@'localhost'
show grants form username@localhost
5,Table Level
作用域:低于Global Level,Database Level,高于Column Level,Routine Level
实现:GRANT INDEX ON test.t1 TO 'USERNAME'@'LOCALHSOT';
权限设置:ALTER,CREATE,DELETE,DROP,INDEX,INSERT,SELECT,UPDATE
6,Column Level:
作用域:低于Global,Database,Table level ,高于Routine Level
实现:GRANT select(id,value) on test.t2 to 'ab'@'localhsot';
注意:当某个用户在向某个表插入(INSERT)数据的时候,如果该用户在某个列上没有INSERT权限,则该列的数据将插入默认值填充
7,Routeine Level:
作用域:低于其他4中级别
权限设置:EXECUTE,ALTER ROUTINE两种
实现:GRANT EXECUTE ON test.p1 to 'username'@'localhost';
8,grant 权限:
拥有grant权限的用户,可以将自身所拥有的权限授权给其他用户,通常加上:WITH GRANT OPTION字句达到授权的目的。
9,我们可以通过GRANT ALL 语句授予某个Level的所有可用权限给某个用户:
grant all on test.t4 to 'abc';
注意:上面的五个权限中:Table,Column,Routine三者在授权的时候有所依赖的对象必须是存在的,而不像DATABASE level,可以在当前数据库不存在的时候完成授权
4.2.4访问控制实现原理:
1,组成:
用户管理模块:是否存在某个用户
主要就是:user表中的host,username,password这三项
访问控制模块:监控来访者每个动作
所有授权用户都存放在mysql.user表中
说明:用户管理模块决定造访者能否进门,访问控制模块则决定每个客人能那什么不能拿什么
2,客户管理模块流程:
3,权限控制模块流程:详细解释:page45
select * from test.t4 where status='ss';
4.3mysql 访问授权策略:
1,了解来访主机:'username'@'%'授予所有主机权限
2,了解用户:只读,只写,备份,管理,访问特定数据库,表
3,位工作分类
4,确保绝对必要这拥有grant option权限
来源:oschina
链接:https://my.oschina.net/u/1047106/blog/509374