游乐游手机版
首页/数据库/文章详情

MySQL创建只读账号的权限设置方法

时间:2026-07-17 20:04
MySQL创建只读账号:库表级别授予SELECT,并单独授予USAGE连接权限。库名含特殊字符用反引号,跨库JOIN需显式授权;MySQL8 0+需额外授权INFORMATION_SCHEMA;CREATEUSER与GRANT分两步;只读账号无法执行SELECT FORUPDATE。

MySQL权限体系基于白名单机制,创建只读账号的核心在于明确允许用户读取哪些内容,而非限制其写入操作。掌握这一原则,众多权限配置难题将迎刃而解。

在MySQL中如何创建具有受限权限的只读账号?

值得注意的是,GRANT SELECT ON *.*看似授予全局读权限,实则暗藏风险——它将暴露mysqlperformance_schema等系统库的表结构。真正的只读账号应精确限定库表范围,例如使用GRANT SELECT ON mydb.*。这个细节不容忽视。

GRANT SELECT必须明确指定库表范围,不能仅依赖未授予写权限来确保安全

几个看似简单、却经常翻车的坑值得警惕:

  • 当库名包含特殊字符(如my-db)时,使用单引号包裹的'my-db'.*会导致语法错误。正确的做法是采用反引号,即`my-db`.*,或直接避免使用带特殊字符的库名。
  • 跨库JOIN查询是常见的隐藏陷阱。例如,执行SELECT * FROM db1.t1 JOIN db2.t2时,若仅对db1授予SELECT权限而忽略db2,查询将报错。必须对两个库均显式执行GRANT SELECT
  • 部分管理员误以为通过REVOKE INSERT可以强化只读安全,实则多余——未授予的权限原本就不存在,且回收操作容易遗漏TRUNCATELOCK TABLES等隐式写操作。权限管理中,采用加法原则(只授予必要权限)比减法更可靠。

USAGE权限必须单独授予,否则用户无法建立连接

GRANT SELECT仅控制可执行的操作,并不决定用户能否登录。这好比给了你钥匙,却未告知门的位置。

若缺少USAGE权限,即使密码验证通过,连接也会立即断开,并报错ERROR 1045 (28000): Access denied。在MySQL 8.0及以上版本中,USAGE不会自动随GRANT SELECT授予,因此必须显式添加。

  • 补充授权语句:GRANT USAGE ON *.* TO 'ro_user'@'192.168.10.%'
  • USAGE是纯连接权限,不赋予任何实际操作能力,需与SELECT分开授予
  • 主机名请勿使用'%'开放所有IP,生产环境应限定内网网段,例如'192.168.10.%'

SHOW CREATE TABLE失败?需显式授予INFORMATION_SCHEMA权限

许多ORM框架、监控工具或DBA在查询表结构时会调用SHOW CREATE TABLE t1。该语句底层依赖于information_schema.TABLESinformation_schema.COLUMNSSELECT权限。MySQL 5.7默认允许此操作,但8.0及以上版本已严格收紧。

若仅授予业务库权限,执行SHOW CREATE TABLE将返回错误:ERROR 1142 (42000): SELECT command denied

  • 解决方案:GRANT SELECT ON INFORMATION_SCHEMA.* TO 'ro_user'@'192.168.10.%'
  • 无需开放performance_schemasys的全部权限,除非确实需要访问其视图。

CREATE USER与GRANT需分两步执行,不可合并为一条语句

从MySQL 5.7开始,CREATE USER语句不再支持同时携带GRANT子句。合并书写会直接触发语法错误:ERROR 1064 (42000): You have an error in your SQL syntax

  • 正确操作分为两步:首先执行CREATE USER 'ro_user'@'192.168.10.%' IDENTIFIED BY 'strong-pass-2024';,随后执行GRANT SELECT ON myapp_db.* TO 'ro_user'@'192.168.10.%';
  • 密码需用单引号包裹,且不能为纯数字或过于简单的字符串。MySQL 8.0+默认启用密码强度校验,弱密码会被拒绝创建。
  • 执行完GRANT后无需手动运行FLUSH PRIVILEGES,因为GRANT语句会自动刷新权限缓存,除非你直接修改了mysql.user表。

最后,还有一个易被忽略的要点:只读账号能否执行SELECT ... FOR UPDATE?答案是不能——该语句会触发锁机制,实际需要SELECTLOCK TABLES双重权限,而只读账号缺少后者,执行将直接报错ERROR 1142。但需要警惕的是,如果用户持有EXECUTE权限,或能够访问SQL SECURITY DEFINER视图,仍可能间接触发写操作。权限的边界,远比表面上复杂。

来源:https://www.php.cn/faq/2820072.html
上一篇MySQL视图与用户管理必备完全解析与实战指南 下一篇利用Redis Lua脚本实现分布式信号量控制
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
MySQL千万级大表如何平滑DDL变更避免长时间锁表
数据库 · 2026-07-17

MySQL千万级大表如何平滑DDL变更避免长时间锁表

MySQL8 0 12+对末尾添加允许NULL且无默认值的字段支持INSTANT算法秒级完成,避免锁表与主从延迟。否则需用pt-osc或gh-ost,并注意触发器延迟、binlog格式需设置为行模式、主从延迟及连接池及时进行刷新,防止业务抖动与中断,确保稳定。

MySQL外键约束大批量导入数据性能影响原因
数据库 · 2026-07-17

MySQL外键约束大批量导入数据性能影响原因

MySQL中外键校验逐行进行,无法批量合并,每行插入均触发独立存在性检查、加锁与释放,高并发下IO和锁竞争指数级放大。需为外键字段创建高效索引,慎用ONDELETECASCADE,必要时将校验移至应用层。

SQL窗口函数统计连续登录天数的方法
数据库 · 2026-07-17

SQL窗口函数统计连续登录天数的方法

连续登录天数统计通过登录日期减去窗口函数ROW_NUMBER()行号构造恒定分组标识实现,需用DATEDIFF等适配数据库差异,筛选至少连续3天用户应在外层按user_id聚合取最大值判断,并注意联合索引避免全表排序。

Redis集群状态fail时用redis-cli修复槽位方法
数据库 · 2026-07-17

Redis集群状态fail时用redis-cli修复槽位方法

Redis集群状态cluster_state:fail的根源包括主节点宕机、网络故障或槽位未分配等。redis-cli--clusterfix仅适用于节点在线且通信正常时的槽位空缺场景,无法处理进程挂掉或网络问题。使用前需验证节点连接、数量及槽位分配状态,否则可能掩盖问题或导致数据永久丢失。fix无效时应检查日志、手动补节点或重建集群。

Oracle安装报错INS-13001环境不支持?命令行加参数忽略
数据库 · 2026-07-17

Oracle安装报错INS-13001环境不支持?命令行加参数忽略

在Windows高版本操作系统安装Oracle时,若遇INS-13001不支持环境报错,可通过命令行添加`-ignorePrereq`跳过所有系统检查,或以`-J "-Doracle install db validate supportedOSCheck=false "`禁用特定系统校验。需以管理员身份运行CMD,切勿双击setup exe,并确保主机名和IP