mysql-安全性-11.htm

微软数据库开发梦工场多媒体教学-My sql篇.rar

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Untitled Document</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>

<body bgcolor="#000000" text="#FFFFFF">
<p><font color="#009900">查询访问验证<br>
  </font> </p>
<p>　　每次你发出一个查询，服务器检查你是否有足够的权限执行它，它以user、db、tables_priv和columns_priv的顺序检查，知道它确定你有适当的访问权限或已搜索所有表而一无所获。更具体的说： 
</p>
<p>·服务器检查user表匹配你开始连接的记录以查看你有什么全局权限。如果你有并且它们对查询足够了，服务器则执行它。 <br>
  ·如果你的全局权限不够，服务器为你在db表中寻找并将该记录中的权限加到你的全局权限中。如果结果对查询足够，服务器执行它。 <br>
  ·如果你的全局和数据库级组合的权限不够，服务器继续查找，首先在tables_priv表，然后columns_priv表。 <br>
  ·如果你在检查了所有表之后仍无权限，服务器拒绝你执行查询的企图。 <br>
  用布尔运算的术语，授权表中的权限被服务器这样使用：</p>
<p>user OR tables_priv OR columns_priv</p>
<p>你可能疑惑为什么前面的描述只引用4个授权表，而实际上有5个。实际上服务器是这样检查访问权限：</p>
<p>user OR (db AND host) OR tables_priv OR columns_priv</p>
<p>第一个较简单的表达式是因为host表不受GRANT和REVOKE语句影响。如果你总是用GRANT和REVOKE管理用户权限，你绝不需要考虑host表。但是其工作原理你用该知道： 
</p>
<p>·当服务器检查数据库级权限时，它对于客户查找db表。如果Host列是空的，它意味着“检查host表以找出哪一个主机能访问数据库”。</p>
<p>·服务器在host表中查找有与来自db表的记录相同的Db列值。如果没有host记录匹配客户主机，则没有授予数据库级权限。如果这些记录的任何一个的确有一个匹配连接的客户主机的Host列值，db表记录和host表记录结合产生客户的数据库级权限。 
  <br>
  然而，权限用一个逻辑AND（与）结合起来，这意味着除非一个给定的权限在两个表中都有，否则客户就不具备该权限。以这种方式，你可以在db表中授予一个基本的权限集，然后使用host表对特定的主机有选择地禁用它们。如你可以允许从你的域中的所有主机访问数据库，但关闭了那些在较不安全区域的主机的数据库权限。</p>
<p>前面的描述毫无疑问使访问检查听起来一个相当复杂的过程，特别是你以为服务器对你发出的每个查询进行权限检查，然而此过程是很快的，因为服务器其实不从授权表对每个查询查找信息，相反，它在启动时将表的内容读入内存，然后验证查询用的是内存中的副本。这大大提高了访问检查操作的性能。但有一个非常明显的副作用。如果你直接修改授权表的内容，服务器将不知道权限的改变。</p>
<p>例如，如果你用一条INSERT语句向user表加入一个新记录来增加一个新用户，命名在记录中的用户将不能连接服务器。这对管理员新手（有时对有经验的老手）是很困惑的事情，当时解决方法很简单：在你改变了它们之后告诉服务器重载授权表内容，你可以发一条FLUSH 
  PRIVILEGES或执行mysqladmin flush-privileges（或如果你有一个不支持flush-privileges的老版本，用mysqladmin 
  reload。）</p>
<p></p>
<p>&nbsp; </p>
</body>
</html>