GRANT命令用于分配数据库权限,确保用户按需访问数据并保障安全。其基本语法为:GRANT 权限类型 ON 数据库名.表名 TO '用户名'@'客户端地址' [IDENTIFIED BY '密码'];权限类型包括SELECT、INSERT、UPDATE、DELETE、ALL PRIVILEGES等;数据库名.表名可用代表所有数据库或表;'用户名'@'客户端地址'定义用户及允许登录的主机,如'localhost'或'%'表示任意主机;IDENTIFIED BY可选,用于设置密码。常见应用场景有:授予本地用户对某数据库全部权限——GRANT ALL PRIVILEGES ON mydb. TO 'devuser'@'localhost';允许远程用户查询特定表——GRANT SELECT ON mydb.users TO 'reporter'@'192.168.1.%';赋予增删改查权限但不含DDL——GRANT SELECT, INSERT, UPDATE, DELETE ON mydb.orders TO 'appuser'@'10.%';全局权限配置管理员从任意位置登录管理所有数据库——GRANT ALL PRIVILEGES ON . TO 'admin'@'%' IDENTIFIED BY 'securepass'。执行GRANT后需运行FLUSH PRIVILEGES使权限生效,并可通过SHOW GRANTS FOR '用户名'@'客户端地址'查看权限。撤销权限使用REVOKE命令,如REVOKE DELETE ON
在 MySQL 中,GRANT 命令用于为用户分配特定的数据库权限。正确使用 GRANT 可以确保用户只能访问其需要的数据,同时保障系统安全。
基本语法结构
GRANT 命令的基本格式如下:
GRANT 权限类型 ON 数据库名.表名 TO '用户名'@'客户端地址' [IDENTIFIED BY '密码'];
说明:
- 权限类型:如 SELECT、INSERT、UPDATE、DELETE、ALL PRIVILEGES 等。
- 数据库名.表名:指定权限作用范围,可用 * 代表所有数据库或所有表。
- '用户名'@'客户端地址':定义用户及其允许登录的主机,如 'user1'@'localhost' 或 'user1'@'%'
- IDENTIFIED BY 可选,用于在授权时设置或修改密码。
常见权限示例
以下是一些常用权限配置场景:
-
授予本地用户对某个数据库的全部权限:
GRANT ALL PRIVILEGES ON mydb.* TO 'devuser'@'localhost'; -
允许远程用户查询特定表:
GRANT SELECT ON mydb.users TO 'reporter'@'192.168.1.%'; -
赋予用户增删改查权限但不含DDL操作:
GRANT SELECT, INSERT, UPDATE, DELETE ON mydb.orders TO 'appuser'@'10.%'; -
全局权限:允许管理员从任意位置登录并管理所有数据库:
GRANT ALL PRIVILEGES ON *.* TO 'admin'@'%' IDENTIFIED BY 'securepass';
刷新权限并验证
执行 GRANT 后,必须让权限生效:
- 运行
FLUSH PRIVILEGES;使更改立即生效(某些情况下自动触发,但手动执行更稳妥)。 - 可通过以下命令查看用户权限:
SHOW GRANTS FOR '用户名'@'客户端地址';
撤销权限与注意事项
若需收回权限,使用 REVOKE 命令:
REVOKE DELETE ON mydb.* FROM 'devuser'@'localhost';
注意点:
- 谨慎使用 ON *.* 和 @'%',避免过度授权带来安全风险。
- 生产环境中避免使用 IDENTIFIED BY 在 GRANT 中明文写密码,建议先创建用户再授权。
- MySQL 8.0+ 推荐使用 CREATE USER 显式创建用户后再 GRANT。
