数据库应用技术（MySQL）（第二版） 课件 模块4任务1数据库安全管理

模块四

管理数据库

数据库中保存着非常重要的数据和资料，保证数据的安全性对于任何数据库管理系统来说都是极为重要的。数据库安全是指保护数据库，防止因不合法的使用而造成数据泄露、更改或破坏。

为了保证数据库的安全，MySQL提供了完善的安全管理机制，同时还提供了功能强大的数据库备份和还原工具。定期对数据库进行备份，就可以从多种故障中恢复数据，将损失降到最低。本模块主要包括以下2个学习任务：

任务1数据库安全管理

任务2数据库备份与还原数据库存储着大量的关键数据与敏感数据，这些数据一旦被泄露或窃取，会对个人、企业甚至国家造成无法估量的损失。数据安全已成为国家安全保障体系的重要组成内容。为了保证数据库的安全，用户要访问MySQL数据库，必须拥有登录MySQL服务器的用户名和密码。登录服务器后，用户只能在其权限范围内使用数据库资源。数据库安全管理的任务主要是对数据库进行安全性设置，给操作数据库的人员分配用户名、密码以及可操作的权限范围。任务描述任务1数据库安全管理了解MySQL权限表12掌握创建和管理用户账户的方法3掌握查看权限的方法掌握授予和收回权限的方法4任务目标了解掌握掌握掌握用户管理MySQL用户主要分为root用户和普通用户，root用户是超级管理员，拥有操作和管理MySQL的所有权限，普通用户只拥有被赋予的权限。用户账号及相关信息存储在系统数据库mysql的user表中。MySQL提供了许多命令用于创建用户、修改用户、删除用户等。知识点1知识准备1.创建用户可以使用CREATEUSER语句创建用户，其基本语法格式如下：用户管理知识点1知识准备CREATEUSER'username'@'hostname'[IDENTIFIEDBY'password'][,'username'@'hostname'[IDENTIFIEDBY'password']]…指定创建的用户名。指定用户连接MySQL服务器时所用主机的名字，可以是IP地址、域名以及“%”。其中，“%”表示任何主机名。指定用户的密码。提示：CREATEUSER语句可以同时创建多个用户，各用户之间用逗号分隔。创建的新用户可以登录MySQL服务器，不能执行任何数据库操作。是可选项，用于设置用户的密码。如果用户无密码，可以省略。2.修改用户密码用户密码至关重要，一旦丢失需要及时修改。root用户既可以修改自己的密码，也可以修改普通用户的密码，普通用户需要拥有相应权限才能修改自己的密码。MySQL中可以使用ALTERUSER语句，也可以使用SETPASSWORD语句修改用户密码。（1）ALTERUSER语句修改用户密码的基本语法格式如下：（2）SETPASSWORD语句修改用户密码的基本语法格式如下：用户管理知识点1知识准备ALTERUSERuser[IDENTIFIEDBY'newpassword'][,user[IDENTIFIEDBY'newpassword']]…指定新密码。指定要修改密码的用户账号，由用户名和主机名构成，也可以使用USER()函数指定用户，表示修改当前用户的密码。提示：ALTERUSER语句是修改用户密码的首选SQL语句，推荐使用。SETPASSWORD[FORuser]='newpassword'指定新密码。指定要修改密码的用户账号，user由用户名和主机名构成。FORuser可以省略，表示修改当前用户的密码。3.删除用户MySQL中可以使用DROPUSER语句删除用户，也可以使用DELETE语句直接将用户的信息从mysql.user表中删除。DROPUSER语句的基本语法格式如下：用户管理知识点1知识准备DROPUSER'username'@'hostname'[,'username'@'hostname']…说明：DROPUSER语句可以同时删除多个用户，并撤销其权限。用户的删除不会影响到他们之前创建的表、索引等数据库对象。权限管理在MySQL数据库中，为了保证数据的安全性，数据库管理员需要为每个用户分配不同的权限，限制用户只能在其权限范围内操作数据库资源。管理员还可以根据不同的情况为用户增加或收回对数据的操作权限，从而控制数据操作人员的权限。根据权限的作用范围，权限信息分别存储在系统数据库mysql的不同数据表中。启动MySQL服务时，会自动加载这些权限信息，并将这些权限信息读取到内存中。知识点2知识准备数据表说明user保存用户被授予的全局权限db保存用户被授予的数据库权限tables_priv保存用户被授予的数据表权限columns_priv保存用户被授予的列权限procs_priv保存用户被授予的存储过程和函数权限1.查看权限可以使用SHOWGRANTS语句查看用户的权限信息，其基本语法格式如下：权限管理知识点2知识准备SHOWGRANTS[FORuser]指定要查看权限的用户账号，user由用户名和主机名构成。FORuser可以省略，表示查看当前用户的权限。2.授予权限合理的授权可以保证数据库的安全，MySQL中可以使用GRANT语句为用户授权，其基本语法格式如下：权限管理知识点2知识准备GRANTpriv_type[(column_list)][,priv_type[(column_list)]]…ONpriv_levelTOuser[,user]…[WITHGRANTOPTION]指定权限类型，如SELECT、UPDATE等。可选项，指定权限授予给表中哪些列。指定被授予权限的用户，由用户名和主机名构成。可选项，指定用户可以将自己拥有的权限授予给其他用户。指定权限所作用的范围。有这样几类格式：“*”表示当前数据库中的所有表；“*.*”表示所有数据库中的所有表；“db_name.*”表示指定数据库db_name中的所有表；“db_name.tbl_name”表示指定数据库db_name中的指定表或视图tbl_name；“tbl_name”表示指定表或视图tbl_name；“db_name.routine_name”表示指定数据库db_name中的指定存储过程或函数routine_name。3.收回权限在MySQL中，为了保证数据库的安全性，需要将用户非必要的权限收回，MySQL提供REVOKE语句收回用户的权限。其基本语法格式如下：权限管理知识点2知识准备REVOKEpriv_type[(column_list)][,priv_type[(column_list)]]…ONpriv_levelFROMuser[,user]…任务实施1使用图形化工具管理用户2使用SQL语句管理用户3使用图形化工具管理权限4使用SQL语句管理权限1.创建用户【例1】创建用户“judy”，主机名为“localhost”，密码为“judy666”。任务实施使用图形化工具管理用户12.修改用户密码【例2】修改用户“judy”的密码为“judy888”。任务实施使用图形化工具管理用户11.创建用户【例3】使用CREATEUSER语句创建一个新用户，用户名为“xqy”，主机名为“localhost”，密码为“xqy666”。任务实施使用SQL语句管理用户2mysql>CREATEUSER'xqy'@'localhost'IDENTIFIEDBY'xqy666';QueryOK,0rowsaffected(0.01sec)mysql>SELECThost,userFROMmysql.user;+-----------------+-------------------------+|host |user |+-----------------+-------------------------+|localhost |judy ||localhost |schema ||localhost |mysql.session ||localhost |mysql.sys ||localhost |root ||localhost |xqy |+-----------------+-------------------------+6rowsinset(0.03sec)CREATEUSER语句执行成功后，可以使用SELECT语句查看用户是否已经被添加到user表中。【例4】使用CREATEUSER语句创建两个用户，用户名为“xx”，主机为任意主机，密码为“xx666”；用户名为“yy”，主机名为“localhost”，密码为“yy666”。任务实施使用SQL语句管理用户2mysql>CREATEUSER'xx'@'%'IDENTIFIEDBY'xx666','yy'@'localhost'IDENTIFIEDBY'yy666';QueryOK,0rowsaffected(0.02sec)说明：主机名为“localhost”表示该用户只能从本地主机连接MySQL服务器。主机为任意主机，使用“%”表示该用户可以在任何主机中连接MySQL服务器。2.修改用户密码【例5】使用ALTERUSER语句将用户“xqy”的密码改为“xqy888”。任务实施使用SQL语句管理用户2mysql>ALTERUSER'xqy'@'localhost'IDENTIFIEDBY'xqy888';QueryOK,0rowsaffected(0.02sec)【例6】使用SETPASSWORD语句将用户“xqy”的密码改为“xqy999”。任务实施使用SQL语句管理用户2mysql>SETPASSWORDFOR'xqy'@'localhost'='xqy999';QueryOK,0rowsaffected(0.02sec)3.删除用户【例4-1-7】使用DROPUSER语句删除用户“xx”。任务实施使用SQL语句管理用户2mysql>DROPUSER'xx'@'%';QueryOK,0rowsaffected(0.02sec)【例8】使用DELETE语句删除用户“yy”。任务实施使用SQL语句管理用户2mysql>DELETEFROMmysql.userWHEREhost='localhost'ANDuser='yy';QueryOK,1rowaffected(0.01sec)执行成功后，可以通过SELECT语句查看user表，以确定用户是否已经被成功删除。由于DELETE语句是直接对user表进行操作，执行完DELETE语句后需要使用“FLUSHPRIVILEGES;”语句重新加载权限。多学一招：MySQL还提供了RENAMEUSER语句用于对用户进行重命名，其基本语法格式如下：任务实施使用SQL语句管理用户2RENAMEUSERold_userTOnew_user[,old_userTOnew_user]…【例9】将用户名“xqy”修改为“xjy”。mysql>RENAMEUSER'xqy'@'localhost'TO'xjy'@'localhost';QueryOK,0rowsaffected(0.01sec)指定已经存在的用户账号。指定新的用户账号。创建的新用户可以登录MySQL服务器，但是没有任何操作权限，可以根据业务需求给用户分配适当的权限。【例10】授予用户“judy@localhost”在整个服务器上拥有“Select”、“Update”、“Insert”和“Delete”权限。任务实施使用图形化工具管理权限3【例11】授予用户“judy@localhost”在数据库beems上拥有“Create”、“Drop”和“Alter”权限。任务实施使用图形化工具管理权限31.查看权限【例12】使用SHOWGRANTS语句查看root用户的权限信息。任务实施使用SQL语句管理权限4root用户拥有所有权限，并且可以为其他用户授予权限。【例13】使用SHOWGRANTS语句查看用户“xqy”的权限信息。任务实施使用SQL语句管理权限4mysql>SHOWGRANTSFOR'xqy'@'localhost';+---------------------------------------------------------+|Grantsforxqy@localhost |+---------------------------------------------------------+|GRANTUSAGEON*.*TO`xqy`@`localhost`|+---------------------------------------------------------+1rowinset(0.05sec)USAGE权限只能用于登录MySQL数据库，不能执行任何操作，且USAGE权限不能被收回。2.授予权限【例14】使用GRANT语句设置用户“xqy”对所有数据库有“insert”、“select”权限。任务实施使用SQL语句管理权限4mysql>GRANTINSERT,SELECTON*.*TO'xqy'@'localhost'WITHGRANTOPTION;QueryOK,0rowsaffected(0.01sec)mysql>SHOWGRANTSFOR'xqy'@'localhost';+--------------------------------------------------------------------------------------------------------------+|Grantsforxqy@localhost |+--------------------------------------------------------------------------------------------------------------+|GRANTSELECT,INSERTON*.*TO`xqy`@`localhost`WITHGRANTOPTION|+--------------------------------------------------------------------------------------------------------------+1rowinset(0.04sec)再次查看用户“xqy”的权限信息。3.收回权限【例14】使用REVOKE语句收回用户“xqy”的INSERT权限。任务实施使用SQL语句管理权限4mysql>REVOKE