一级片黄色免费,久久蜜桃av一区二区天堂

正在看的ORACLE教程是:MySQL安全性指南 (2)（轉(zhuǎn)）。 MySQL安全性指南(2)

作者：晏子

2.1.3 數(shù)據(jù)庫(kù)和表權(quán)限
下列權(quán)限運(yùn)用于數(shù)據(jù)庫(kù)和表上的操作。

ALTER
允許你使用ALTER TABLE語(yǔ)句，這其實(shí)是一個(gè)簡(jiǎn)單的第一級(jí)權(quán)限，你必須由其他權(quán)限，這看你想對(duì)數(shù)據(jù)庫(kù)實(shí)施什么操作。
CREATE
允許你創(chuàng)建數(shù)據(jù)庫(kù)和表，但不允許創(chuàng)建索引。
DELETE
允許你從表中刪除現(xiàn)有記錄。
DROP
允許你刪除（拋棄）數(shù)據(jù)庫(kù)和表，但不允許刪除索引。
INDEX
允許你創(chuàng)建并刪除索引。
REFERENCES
目前不用。
SELECT
允許你使用SELECT語(yǔ)句從表中檢索數(shù)據(jù)。對(duì)不涉及表的SELECT語(yǔ)句就不必要，如SELECT NOW()或SELECT 4/2。
UPDATE
允許你修改表中的已有的記錄。
2.1.4 管理權(quán)限
下列權(quán)限運(yùn)用于控制服務(wù)器或用戶(hù)授權(quán)能力的操作的管理性操作。

FILE
允許你告訴服務(wù)器讀或?qū)懛?wù)器主機(jī)上的文件。該權(quán)限不應(yīng)該隨便授予，它很危險(xiǎn)，見(jiàn)“回避授權(quán)表風(fēng)險(xiǎn)”。服務(wù)器確實(shí)較謹(jǐn)慎地保持在一定范圍內(nèi)使用該權(quán)限。你只能讀任何人都能讀的文件。你正在寫(xiě)的文件必須不是現(xiàn)存的文件，這防止你迫使服務(wù)器重寫(xiě)重要文件，如/etc/passwd或?qū)儆趧e人的數(shù)據(jù)庫(kù)的數(shù)據(jù)目錄。
如果你授權(quán)FILE權(quán)限，確保你不以UNIX的root用戶(hù)運(yùn)行服務(wù)器，因?yàn)閞oot可在文件系統(tǒng)的任何地方創(chuàng)建新文件。如果你以一個(gè)非特權(quán)用戶(hù)運(yùn)行服務(wù)器，服務(wù)器只能在給用戶(hù)能訪問(wèn)的目錄中創(chuàng)建文件。

GRANT
允許你將你自己的權(quán)限授予別人，包括GRANT。
PROCESS
允許你通過(guò)使用SHOW PROCESS語(yǔ)句或mysqladmin process命令查看服務(wù)器內(nèi)正在運(yùn)行的線(xiàn)程（進(jìn)程）的信息。這個(gè)權(quán)限也允許你用KILL語(yǔ)句或mysqladmin kill命令殺死線(xiàn)程。
你總是能看到或殺死你自己的線(xiàn)程。PROCESS權(quán)限賦予你對(duì)任何線(xiàn)程做這些事情的能力。

RELOAD
允許你執(zhí)行大量的服務(wù)器管理操作。你可以發(fā)出FLUSH語(yǔ)句，你也能指性mysqladmin的reload、refresh、flush-hosts、flush-logs、flush-privileges和flush-tables等命令。
SHUTDOWN
允許你用mysqladmin shutdown關(guān)閉服務(wù)器。
在user、db和host表中，每一個(gè)權(quán)限以一個(gè)單獨(dú)的列指定。這些列全部聲明為一個(gè)ENUM("N","Y")類(lèi)型，所以每個(gè)權(quán)的缺省值是“N”。在tables_priv和columns_priv中的權(quán)限以一個(gè)SET表示，它允許權(quán)限用一個(gè)單個(gè)列以任何組合指定。這兩個(gè)表比其他三個(gè)表更新，這就是為什么它們使用更有效的表示方式的原因。（有可能在未來(lái)，user、db和host表也用一個(gè)SET類(lèi)型表示。）

在tables_priv表中的Table_priv列被定義成：

SET(Select,Insert,Update,Delete,Create,Drop,Grant,References,Index,Alter)
在coloums_priv表中的Column_priv列被定義成：　

SET(Select,Insert,Update,References)
列權(quán)限比表權(quán)限少，因?yàn)榱屑?jí)較少的權(quán)限有意義。例如你能創(chuàng)建一個(gè)表，但你不能創(chuàng)建一個(gè)孤立的列。

user表包含某些在其他授權(quán)表不存在的權(quán)限的列：File_priv、Process_priv、Reload_priv和Shutdown_priv。這些權(quán)限運(yùn)用于你讓服務(wù)器執(zhí)行的與任何特定數(shù)據(jù)庫(kù)或表不相關(guān)的操作。如允許一個(gè)用戶(hù)根據(jù)當(dāng)前數(shù)據(jù)庫(kù)是什么來(lái)關(guān)閉數(shù)據(jù)庫(kù)是毫無(wú)意義的。

2.2 服務(wù)器如何控制客戶(hù)訪問(wèn)
在你使用MySQL時(shí)，客戶(hù)訪問(wèn)控制有兩個(gè)階段。第一階段發(fā)生在你試圖連接服務(wù)器時(shí)。服務(wù)器查找user表看它是否能找到一個(gè)條目匹配你的名字、你正在從那兒連接的主機(jī)和你提供的口令。如果沒(méi)有匹配，你就不能連接。如果有一個(gè)匹配，建立連接并繼續(xù)第二階段。在這個(gè)階段，對(duì)于每一個(gè)你發(fā)出的查詢(xún)，服務(wù)器檢查授權(quán)表看你是否有足夠的權(quán)限執(zhí)行查詢(xún)，第二階段持續(xù)到你與服務(wù)器對(duì)話(huà)的結(jié)束。

本小節(jié)詳細(xì)介紹MySQL服務(wù)器用于將授權(quán)表?xiàng)l目匹配到來(lái)的連接請(qǐng)求或查詢(xún)的原則，這包括在授權(quán)表范圍列中合法的值的類(lèi)型、結(jié)合授權(quán)表中的權(quán)限信息的方式和表中條目被檢查的次序。

2.2.1 范圍列內(nèi)容
一些范圍列要求文字值，但它們大多數(shù)允許通配符或其他特殊值。

Host
一個(gè)Host列值可以是一個(gè)主機(jī)名或一個(gè)IP地址。值localhost意味著本地主機(jī)，但它只在你用一個(gè)localhost主機(jī)名時(shí)才匹配，而不是你在使用主機(jī)名時(shí)。假如你的本地主機(jī)名是pit.snake.net并且在user表中有對(duì)你的兩條記錄，一個(gè)有一個(gè)Host值或localhost，而另一個(gè)有pit.snake.net，有l(wèi)ocalhost的記錄將只當(dāng)你連接localhost時(shí)匹配，其他在只在連接pit.snake.net時(shí)才匹配。如果你想讓客戶(hù)能以?xún)煞N方式連接，你需要在user表中有兩條記錄。

你也可以用通配符指定Host值?？梢允褂肧QL的模式字符“%”和“_”并具有當(dāng)你在一個(gè)查詢(xún)中使用LIKE算符同樣的含義（不允許regex算符）。 SQL模式字符都能用于主機(jī)名和IP地址。如%wisc.edu匹配任何wisc.edu域內(nèi)的主機(jī)，而%.edu匹配任何教育學(xué)院的主機(jī)。類(lèi)似地，192.168.%匹配任何在192.168 B類(lèi)子網(wǎng)的主機(jī)，而192.168.3.%匹配任何在192.168.3 C類(lèi)子網(wǎng)的主機(jī)。

%值匹配所有主機(jī)，并可用于允許一個(gè)用戶(hù)從任何地方連接。一個(gè)空白的Host值等同于%。（例外：在db表中，一個(gè)空白Host值含義是“進(jìn)一步檢查host表”，該過(guò)程在“查詢(xún)?cè)L問(wèn)驗(yàn)證”中介紹。）

從MySQL 3.23起，你也可以指定帶一個(gè)表明那些為用于網(wǎng)絡(luò)地址的網(wǎng)絡(luò)掩碼的IP地址，如192.168.128.0/17指定一個(gè)17位網(wǎng)絡(luò)地址并匹配其IP地址是192.168128前17位的任何主機(jī)。

User
用戶(hù)名必須是文字的或空白。一個(gè)空白值匹配任何用戶(hù)。%作為一個(gè)User值不意味著空白，相反它匹配一個(gè)字面上的%名字，這可能不是你想要的。

當(dāng)一個(gè)到來(lái)的連接通過(guò)user表被驗(yàn)證而匹配的記錄包含一個(gè)空白的User值，客戶(hù)被認(rèn)為是一個(gè)匿名用戶(hù)。

Password
口令值可以是空或非空，不允許用通配符。一個(gè)空口令不意味著匹配任何口令，它意味著用戶(hù)必須不指定口令。

口令以一個(gè)加密過(guò)的值存儲(chǔ)，不是一個(gè)字面上的文本。如果你在Password列中存儲(chǔ)一個(gè)照字面上的口令，用戶(hù)將不能連接！GRANT語(yǔ)句和mysqladmin password命令為你自動(dòng)加密口令，但是如果你用諸如INSERT、REPLACE、UPDATE或SET PASSWORD等命令，一定要用PASSWORD("new_password")而不是簡(jiǎn)單的"new_password"來(lái)指定口令。

Db
在columns_priv和tables_priv表中，Db值必須是真正的數(shù)據(jù)庫(kù)名（照字面上），不允許模式和空白。在db和host中，Db值可以以字面意義指定或使用SQL模式字符%或_指定一個(gè)通配符。一個(gè)%或空白匹配任何數(shù)據(jù)庫(kù)。
Table_name，Column_name
這些列中的值必須是照字面意思的表或列名，不允許模式和空白。
某些范圍列被服務(wù)器視為大小寫(xiě)敏感的，其余不是。這些原則總結(jié)在下表中。特別注意Table_name值總是被看作大小寫(xiě)敏感的，即使在查詢(xún)中的表名的大小寫(xiě)敏感性對(duì)待視服務(wù)器運(yùn)行的主機(jī)的文件系統(tǒng)而定（UNIX下是大小寫(xiě)敏感，而Windows不是）。

表3 授權(quán)表范圍列的大小寫(xiě)敏感性
列
Host
User
Password
Db
Table_name
Column_name
大小寫(xiě)敏感性
No
Yes
Yes
Yes
Yes
No

2.2.2 查詢(xún)?cè)L問(wèn)驗(yàn)證
每次你發(fā)出一個(gè)查詢(xún)，服務(wù)器檢查你是否有足夠的權(quán)限執(zhí)行它，它以u(píng)ser、db、tables_priv和columns_priv的順序檢查，知道它確定你有適當(dāng)?shù)脑L問(wèn)權(quán)限或已搜索所有表而一無(wú)所獲。更具體的說(shuō)：

服務(wù)器檢查user表匹配你開(kāi)始連接的記錄以查看你有什么全局權(quán)限。如果你有并且它們對(duì)查詢(xún)足夠了，服務(wù)器則執(zhí)行它。
如果你的全局權(quán)限不夠，服務(wù)器為你在db表中尋找并將該記錄中的權(quán)限加到你的全局權(quán)限中。如果結(jié)果對(duì)查詢(xún)足夠，服務(wù)器

[1] [2] 下一頁(yè)

正在看的ORACLE教程是:MySQL安全性指南 (2)（轉(zhuǎn)）。執(zhí)行它。
如果你的全局和數(shù)據(jù)庫(kù)級(jí)組合的權(quán)限不夠，服務(wù)器繼續(xù)查找，首先在tables_priv表，然后columns_priv表。
如果你在檢查了所有表之后仍無(wú)權(quán)限，服務(wù)器拒絕你執(zhí)行查詢(xún)的企圖。
用布爾運(yùn)算的術(shù)語(yǔ)，授權(quán)表中的權(quán)限被服務(wù)器這樣使用：

user OR tables_priv OR columns_priv

你可能疑惑為什么前面的描述只引用4個(gè)授權(quán)表，而實(shí)際上有5個(gè)。實(shí)際上服務(wù)器是這樣檢查訪問(wèn)權(quán)限：

user OR (db AND host) OR tables_priv OR columns_priv

第一個(gè)較簡(jiǎn)單的表達(dá)式是因?yàn)閔ost表不受GRANT和REVOKE語(yǔ)句影響。如果你總是用GRANT和REVOKE管理用戶(hù)權(quán)限，你絕不需要考慮host表。但是其工作原理你用該知道：

當(dāng)服務(wù)器檢查數(shù)據(jù)庫(kù)級(jí)權(quán)限時(shí)，它對(duì)于客戶(hù)查找db表。如果Host列是空的，它意味著“檢查host表以找出哪一個(gè)主機(jī)能訪問(wèn)數(shù)據(jù)庫(kù)”。
服務(wù)器在host表中查找有與來(lái)自db表的記錄相同的Db列值。如果沒(méi)有host記錄匹配客戶(hù)主機(jī)，則沒(méi)有授予數(shù)據(jù)庫(kù)級(jí)權(quán)限。如果這些記錄的任何一個(gè)的確有一個(gè)匹配連接的客戶(hù)主機(jī)的Host列值，db表記錄和host表記錄結(jié)合產(chǎn)生客戶(hù)的數(shù)據(jù)庫(kù)級(jí)權(quán)限。
然而，權(quán)限用一個(gè)邏輯AND（與）結(jié)合起來(lái)，這意味著除非一個(gè)給定的權(quán)限在兩個(gè)表中都有，否則客戶(hù)就不具備該權(quán)限。以這種方式，你可以在db表中授予一個(gè)基本的權(quán)限集，然后使用host表對(duì)特定的主機(jī)有選擇地禁用它們。如你可以允許從你的域中的所有主機(jī)訪問(wèn)數(shù)據(jù)庫(kù)，但關(guān)閉了那些在較不安全區(qū)域的主機(jī)的數(shù)據(jù)庫(kù)權(quán)限。

前面的描述毫無(wú)疑問(wèn)使訪問(wèn)檢查聽(tīng)起來(lái)一個(gè)相當(dāng)復(fù)雜的過(guò)程，特別是你以為服務(wù)器對(duì)你發(fā)出的每個(gè)查詢(xún)進(jìn)行權(quán)限檢查，然而此過(guò)程是很快的，因?yàn)榉?wù)器其實(shí)不從授權(quán)表對(duì)每個(gè)查詢(xún)查找信息，相反，它在啟動(dòng)時(shí)將表的內(nèi)容讀入內(nèi)存，然后驗(yàn)證查詢(xún)用的是內(nèi)存中的副本。這大大提高了訪問(wèn)檢查操作的性能。但有一個(gè)非常明顯的副作用。如果你直接修改授權(quán)表的內(nèi)容，服務(wù)器將不知道權(quán)限的改變。

例如，如果你用一條INSERT語(yǔ)句向user表加入一個(gè)新記錄來(lái)增加一個(gè)新用戶(hù)，命名在記錄中的用戶(hù)將不能連接服務(wù)器。這對(duì)管理員新手（有時(shí)對(duì)有經(jīng)驗(yàn)的老手）是很困惑的事情，當(dāng)時(shí)解決方法很簡(jiǎn)單：在你改變了它們之后告訴服務(wù)器重載授權(quán)表內(nèi)容，你可以發(fā)一條FLUSH PRIVILEGES或執(zhí)行mysqladmin flush-privileges（或如果你有一個(gè)不支持flush-privileges的老版本，用mysqladmin reload。）。

2.2.3 范圍列匹配順序
MySQL服務(wù)器按一種特定方式排序符授權(quán)表中的記錄，然后通過(guò)按序?yàn)g覽記錄匹配到來(lái)的連接。找到的第一個(gè)匹配決定了被使用的記錄。理解MySQL使用的排序順序很重要，特別是對(duì)user表。

當(dāng)服務(wù)器讀取user表內(nèi)容時(shí)，它根據(jù)在Host和User列中的值排序記錄，Host值起決定作用（相同的Host值排在一起，然后再根據(jù)User值排序）。然而，排序不是典序（按詞排序），它只是部分是。要牢記的是字面上的詞優(yōu)先于模式。這意味著如果你正從client.your.net連接服務(wù)器而Host有client.your.net和%.your.net兩個(gè)值，則第一個(gè)先選。類(lèi)似地，%.your.net優(yōu)先于%.net，然后是%。IP地址的匹配也是這樣的。

總之一句話(huà)，越具體越優(yōu)先?？梢詤⒁?jiàn)本文附錄的實(shí)例。

2.3 避免授權(quán)表風(fēng)險(xiǎn)
本屆介紹一些在你授權(quán)時(shí)的一些預(yù)防措施，以及不明值的選擇帶來(lái)的風(fēng)險(xiǎn)。一般地，你要很“吝嗇”地授予超級(jí)用戶(hù)權(quán)限，即不要啟用user表中條目中的權(quán)限，而使用其它授權(quán)表，以將用戶(hù)權(quán)限限制于數(shù)據(jù)庫(kù)、表、或列。在user表中的權(quán)限允許于影響到你的服務(wù)器操作或能訪問(wèn)任何數(shù)據(jù)庫(kù)中的任何表。

不要授予對(duì)mysql數(shù)據(jù)庫(kù)的權(quán)限。一個(gè)擁有包含授權(quán)表數(shù)據(jù)庫(kù)權(quán)限的用戶(hù)可能會(huì)修改表以獲取對(duì)其他任何數(shù)據(jù)庫(kù)的權(quán)限。授予允許一個(gè)用戶(hù)修改mysql數(shù)據(jù)庫(kù)表的權(quán)限也實(shí)際上給了用戶(hù)以一個(gè)全局GRANT權(quán)限。如果用戶(hù)能直接修改表，這也等價(jià)于能夠發(fā)出任何你能想象的任何GRANT語(yǔ)句。

FILE權(quán)限尤其危險(xiǎn)，不要輕易授權(quán)它。以下是一個(gè)擁有FILE權(quán)限的人能干除的事情：

    CREATE TABLE etc_passwd (pwd_entry TEXT);
    LOAD DATA INFILE "/etc/passwd" into TABLE etc_passwd;
    SELECT * FROM etc_passwd;

在發(fā)出這些語(yǔ)句后，用戶(hù)已經(jīng)擁有了你的口令文件的內(nèi)容了。實(shí)際上，服務(wù)器上任何公開(kāi)可讀文件的內(nèi)容都可被擁有FILE權(quán)限的用戶(hù)通過(guò)網(wǎng)絡(luò)訪問(wèn)。

FILE權(quán)限也能被利用來(lái)危害沒(méi)有設(shè)置足夠權(quán)限制的文件權(quán)限的系統(tǒng)上的數(shù)據(jù)庫(kù)。這就是你為什么應(yīng)該設(shè)置數(shù)據(jù)目錄只能由服務(wù)器讀取的原因。如果對(duì)應(yīng)于數(shù)據(jù)庫(kù)表的文件可被任何人讀取，不只是用戶(hù)服務(wù)器賬號(hào)的用戶(hù)可讀，任何有FILE權(quán)限的用戶(hù)也可通過(guò)網(wǎng)絡(luò)連接并讀取它們。下面演示這個(gè)過(guò)程：

創(chuàng)建一個(gè)有一個(gè)LONGBLOB列的表：
USER test;
CREATE TABLE tmp (b LONGBLOB);

使用該表讀取每個(gè)對(duì)應(yīng)于你想偷取的數(shù)據(jù)庫(kù)表文件的內(nèi)容，然后將表內(nèi)容寫(xiě)入你自己數(shù)據(jù)庫(kù)的一個(gè)文件中：

LOAD DATA INFILE "./other_db/x.frm" INTO TABLE tmp
     FIELDS ESCAPED BY "" LINES TERMINATED BY "";
SELECT * FROM tmp INTO OUTFILE "y.frm"
     FIELDS ESCAPED BY "" LINES TERMINATED BY "";
DELETE FROM tmp;
LOAD DATA INFILE "./other_db/x.ISD" INTO TABLE tmp
     FIELDS ESCAPED BY "" LINES TERMINATED BY "";
SELECT * FROM tmp INTO OUTFILE "y.ISD"
     FIELDS ESCAPED BY "" LINES TERMINATED BY "";
DELETE FROM tmp;
LOAD DATA INFILE "./other_db/x.ISM" INTO TABLE tmp
     FIELDS ESCAPED BY "" LINES TERMINATED BY "";
SELECT * FROM tmp INTO OUTFILE "y.ISM"
現(xiàn)在你擁有了一個(gè)新表y，它包含other_db.x的內(nèi)容并且你有全權(quán)訪問(wèn)它。
為避免讓人以同樣的方式攻擊，根據(jù)“第一部分內(nèi)部安全性-保護(hù)你的數(shù)據(jù)目錄”中的指令設(shè)置你的數(shù)據(jù)目錄上的權(quán)限。你也可以在你啟動(dòng)服務(wù)器時(shí)使用--skip-show-database選項(xiàng)限制用戶(hù)對(duì)于他們沒(méi)用訪問(wèn)權(quán)限的數(shù)據(jù)庫(kù)使用SHOW DATABASES和SHOW TABLES。這有助于防止用戶(hù)找到關(guān)于它們不能訪問(wèn)的數(shù)據(jù)庫(kù)和表的信息。

ALTER權(quán)限能以不希望的方式使用。假定你想讓user1可以訪問(wèn)table1但不能訪問(wèn)tables2。一個(gè)擁有ALTER權(quán)限的用戶(hù)可以通過(guò)使用ALTER TABLE將table2改名為table1來(lái)偷梁換柱。

當(dāng)心GRANT權(quán)限。兩個(gè)由不同權(quán)限但都有GRANT權(quán)限的用戶(hù)可以使彼此的權(quán)利更強(qiáng)大。

上一頁(yè) [1] [2]

標(biāo)簽：南平嘉峪關(guān) 聊城股票投資池州通化襄陽(yáng) 南平

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《MySQL安全性指南 (2)（轉(zhuǎn)）》，本文關(guān)鍵詞 MySQL,安全性,指南,轉(zhuǎn),MySQL,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題，煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們，我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無(wú)關(guān)。