Mysql使用者佈建密碼和許可權

我的mysql安裝在c:\mysql
一、更改密碼
　　第一種方式：
　　1、更改之前root沒有密碼的情況
　　　　c:\mysql\bin>mysqladmin -u root password "your password"
　　2、更改之前root有密碼的情況,假如為123456
　　　　c:\mysql\bin>mysqladmin -u root -p123456 password "your password"
　　注意：更改的密碼不能用單引號，可用雙引號或不用引號

第二種方式：
　　1、c:\mysql\bin>mysql -uroot -p密碼 以root身份登入
　　2、mysql>use mysql 選擇資料庫
　　3、mysql>update user set password=password('你的密碼') where User='root';
　　4、mysqlflush privileges; 重新載入許可權表

二、使用者權限設定
　　1、以root（也可用其它有許可權的使用者）身份登入
　　2、下面建立一個test使用者，密碼為test，並且只能對picture資料庫進行操作的命令
　　　　mysql>GRANT ALL ON picture.* TO test IDENTIFIED BY "test";

　　GRANT語句的文法看上去像這樣：
　　GRANT privileges (columns) ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION　

要使用該語句，你需要填寫下列部分：
　　privileges 授予使用者的許可權，下表列出可用於GRANT語句的許可權指定符：
　許可權指定符 許可權允許的操作
　　Alter 　　　　　　修改表和索引
　　Create 　　　　 建立資料庫和表
　　Delete 　　　　 刪除表中已有的記錄
　　Drop 　　 拋棄（刪除）資料庫和表
　　INDEX 　　　　 建立或拋棄索引
　　Insert 　　　　 向表中插入新行
　　REFERENCE 　　未用
　　Select　　　　 檢索表中的記錄
　　Update 　　　　 修改現存表記錄
　　FILE 　　　　　　讀或寫伺服器上的檔案
　　PROCESS 　　 查看伺服器中執行的線程資訊或殺死線程
　　RELOAD 　　　　重載授權表或清空日誌、主機緩衝或表緩衝。
　　SHUTDOWN　　 關閉伺服器
　　ALL 　　　　　　所有；ALL PRIVILEGES同義字
　　USAGE 　　　　特殊的“無許可權”許可權

　　上表顯示在第一組的許可權指定符適用於資料庫、表和列，第二組數系統管理權限。一般，這些被相對嚴格地授權，因為它們允許使用者影響伺服器的操作。第三組許可權特殊，ALL意味著“所有許可權”，UASGE意味著無許可權，即建立使用者，但不授予許可權。

　　columns 　　許可權運用的列，它是可選的，並且你只能設定列特定的許可權。如果命令有多於一個列，應該用逗號分開它們。

　　what 　　許可權運用的層級。許可權可以是全域的（適用於所有資料庫和所有表）、特定資料庫（適用於一個資料庫中的所有表）或特定表的。可以通過指定一個columns字句是許可權是列特定的。

　　user 　　許可權授予的使用者，它由一個使用者名稱和主機名稱組成。在MySQL中，你不僅指定誰能串連，還有從哪裡串連。這允許你讓兩個同名使用者從不同地方串連。MySQL讓你區分他們，並彼此獨立地賦予許可權。MySQL中的一個使用者名稱就是你串連伺服器時指定的使用者名稱，該名字不必與你的Unix登入名稱或Windows名聯絡起來。預設地，如果你不明確指定一個名字，客戶程式將使用你的登入名稱作為MySQL使用者名稱。這隻是一個約定。你可以在授權表中將該名字改為nobody，然後以nobody串連執行需要超級使用者權限的操作。

　　password 　　賦予使用者的口令，它是可選的。如果你對新使用者沒有指定IDENTIFIED BY子句，該使用者不賦給口令（不安全）。對現有使用者，任何你指定的口令將代替老口令。如果你不指定口令，老口令保持不變，當你用IDENTIFIED BY時，口令字串用改用口令的字面含義，GRANT將為你編碼口令，不要你用SET PASSWORD 那樣使用password()函數。

　　WITH GRANT OPTION子句是可選的。如果你包含它，使用者可以授予許可權通過GRANT語句授權給其它使用者。你可以用該子句給與其它使用者授權的能力。

　　注意：使用者名稱、口令、資料庫和表名在授權表記錄中是大小寫敏感的，主機名稱和列名不是。

　　一般地，你可以通過詢問幾個簡單的問題來識別GRANT語句的種類：
　　誰能串連，從那兒串連？
　　使用者應該有什麼層級的許可權，他們適用於什嗎？
　　使用者應該允許系統管理權限嗎？

　　下面就討論一些例子。

　　1.1 誰能串連，從那兒串連？
　　你可以允許一個使用者從特定的或一系列主機串連。有一個極端，如果你知道降職從一個主機串連，你可以將許可權局限於單個主機：

　　GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"
　　GRANT ALL ON samp_db.* TO fred@res.mars.com IDENTIFIED BY "quartz"

　　(samp_db.*意思是“samp_db資料庫的所有表)另一個極端是，你可能有一個經常旅行並需要能從世界各地的主機串連的使用者max。在這種情況下，你可以允許他無論從哪裡串連：
　　GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond"
　　“%”字元起萬用字元作用，與LIKE模式比對的含義相同。在上述語句中，它意味著“任何主機”。所以max和max@%等價。這是建立使用者最簡單的方法，但也是最不安全的。
　　其中，你可以允許一個使用者從一個受限的主機集合訪問。例如，要允許mary從snake.net域的任何主機串連，用一個%.snake.net主機指定符：
　　GRANT ALL ON samp_db.* TO mary@.snake.net IDENTIFIED BY "quartz";

　　
　　如果你喜歡，使用者識別碼的主機部分可以用IP地址而不是一個主機名稱來給定。你可以指定一個IP地址或一個包含模式字元的地址，而且，從MySQL 3.23，你還可以指定具有指出用於網路號的位元的網路遮罩的IP號：

　　GRANT ALL ON samp_db.* TO boris@192.168.128.3 IDENTIFIED BY "ruby"

　　GRANT ALL ON samp_db.* TO fred@192.168.128.% IDENTIFIED BY "quartz"
　　GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIED BY "ruby"

　　第一個例子指出使用者能從其串連的特定主機，第二個指定對於C類子網192.168.128的IP模式，而第三條語句中，192.168.128.0/17指定一個17位網路號並匹配具有192.168.128頭17位的IP地址。
　
　　1.2 使用者應該有什麼層級的許可權和它們應該適用於什嗎？
　　你可以授權不同層級的許可權，全域許可權是最強大的，因為它們適用於任何資料庫。要使ethel成為可做任何事情的超級使用者，包括能授權給其它使用者，發出下列語句：

　　GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION

　　ON子句中的*.*意味著“所有資料庫、所有表”。從安全考慮，我們指定ethel只能從本地串連。限制一個超級使用者可以串連的主機通常是明智的，因為它限制了試圖破解口令的主機。
　　有些許可權（FILE、PROCESS、RELOAD和SHUTDOWN）是系統管理權限並且只能用"ON *.*"全域許可權指定符授權。如果你願意，你可以授權這些許可權，而不授權資料庫許可權。例如，下列語句設定一個flush使用者，他只能發出flush語句。這可能在你需要執行諸如清空日誌等的管理指令碼中會有用：
　　GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass"

　　一般地，你想授權系統管理權限，吝嗇點，因為擁有它們的使用者可以影響你的伺服器的操作。
資料庫級許可權適用於一個特定資料庫中的所有表，它們可通過使用ON db_name.*子句授予：

　　GRANT ALL ON samp_db TO bill@racer.snake.net INDETIFIED BY "rock" GRANT Select ON samp_db TO ro_user@% INDETIFIED BY "rock"

　　第一條語句向bill授權samp_db資料庫中所有表的許可權，第二條建立一個嚴格限制訪問的使用者ro_user（唯讀使用者），只能訪問samp_db資料庫中的所有表，但只有讀取，即使用者只能發出Select語句。

　　你可以列出一系列同時授予的各個許可權。例如，如果你想讓使用者能讀取並能修改現有資料庫的內容，但不能建立新表或刪除表，如下授予這些許可權：
　GRANT Select,Insert,Delete,Update ON samp_db TO bill@snake.net INDETIFIED BY "rock"

　　對於更精緻的存取控制，你可以在各個表上授權，或甚至在表的每個列上。當你想向使用者隱藏一個表的部分時，或你想讓一個使用者只能修改特定的列時，列特定許可權非常有用。如：

　　GRANT Select ON samp_db.member TO bill@localhost INDETIFIED BY "rock"
　　GRANT Update (expiration) ON samp_db. member TO bill@localhost
　　第一條語句授予對整個member表的讀許可權並設定了一個口令，第二條語句增加了Update許可權，當只對expiration列。沒必要再指定口令，因為第一條語句已經指定了。

　　如果你想對多個列授予許可權，指定一個用逗號分開的列表。例如，對assistant使用者增加member表的地址欄位的Update許可權，使用如下語句，新許可權將加到使用者已有的許可權中：
　　GRANT Update (street,city,state,zip) ON samp_db TO assistant@localhost

　
1.3 使用者應該被允許系統管理權限嗎？
　　你可以允許一個資料庫的擁有者通過授予資料庫上的所有擁有者許可權來控制資料庫的訪問，在授權時，指定WITH GRANT OPTION。例如：如果你想讓alicia能從big.corp.com域的任何主機串連並具有sales資料庫中所有表的管理員權限，你可以用如下GRANT語句：

　　GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION

　　在效果上WITH GRANT OPTION子句允許你把訪問授權的權利授予另一個使用者。要注意，擁有GRANT許可權的兩個使用者可以彼此授權。如果你只給予了第一個使用者Select許可權，而另一個使用者有GRANT加上Select許可權，那麼第二個使用者可以是第一個使用者更“強大”。

2 撤權並刪除使用者
　　要取消一個使用者的許可權，使用REVOKE語句。REVOKE的文法非常類似於GRANT語句，除了TO用FROM取代並且沒有INDETIFED BY和WITH GRANT OPTION子句：

　　REVOKE privileges (columns) ON what FROM user

　　user部分必須匹配原來GRANT語句的你想撤權的使用者的user部分。privileges部分不需匹配，你可以用GRANT語句授權，然後用REVOKE語句只撤銷部分許可權。

　　REVOKE語句只刪除許可權，而不刪除使用者。即使你撤銷了所有許可權，在user表中的使用者記錄依然保留，這意味著使用者仍然可以串連伺服器。要完全刪除一個使用者，你必須用一條Delete語句明確從user表中刪除使用者記錄：

%mysql -u root mysqlmysql>Delete FROM user ->Where User="user_name" and Host="host_name";mysql>FLUSH PRIVILEGES;

　　Delete語句刪除使用者記錄，而FLUSH語句告訴伺服器重載授權表。（當你使用GRANT和REVOKE語句時，表自動重載，而你直接修改授權表時不是。）