如何为新用户提供几乎所有权限,但仍然保护一个或多个表/数据库不受其限制。
如果我有一个数据库,
life 还有三张桌子
passwords friends hobbies 如何为此用户提供以下权限:
关于前三个,我会从这样的事情开始:
GRANT INSERT, UPDATE, DELETE ON life.friends TO username@'localhost' IDENTIFIED BY 'password';
GRANT INSERT, UPDATE, DELETE ON life.hobbies TO username@'localhost' IDENTIFIED BY 'password';
但我对如何使用CREATE和DROP感到困惑。如果我像这样在整个数据库上授予drop特权:
GRANT DROP ON life TO username@'localhost' IDENTIFIED BY 'password';
然后用户可以删除我不想要的passwords表。我可以根据这样的表格来授予它:
GRANT DROP ON life.friends TO username@'localhost' IDENTIFIED BY 'password';
GRANT DROP ON life.hobbies TO username@'localhost' IDENTIFIED BY 'password';
但是如果我授予CREATE这样的权限会发生什么:
GRANT CREATE ON life TO username@'localhost' IDENTIFIED BY 'password';
这是否意味着用户甚至无法删除他/她创建的表格?我的问题还涉及创建/删除数据库。如果我想允许用户创建和删除尽可能多的他们自己的数据库,但不 life数据库,该怎么办?
我是否应该通过将passwords表移动到另一个数据库来改变我的方法?
先谢谢你。
答案 0 :(得分:2)
@ TheScrumMeister建议使用单独的数据库的另一种方法是定义一个包装CREATE TABLE的过程,但也授予调用用户DROP权限:
DELIMITER ;;
CREATE PROCEDURE create_table(
tbl_name VARCHAR(64) -- maximum length of a table name
) BEGIN
DECLARE EXIT HANDLER FOR SQLEXCEPTION ROLLBACK;
START TRANSACTION;
SET @usr = SUBSTRING_INDEX(USER(), '@', 1); -- invoking username
SET @tbl = REPLACE(tbl_name, "`", "``"); -- prevent SQL injection
-- just create some dummy table initially - the user can modify it after
SET @qry = CONCAT("
CREATE TABLE `", @tbl, "` (
id INT NOT NULL AUTO_INCREMENT PRIMARY KEY
);
");
PREPARE stmt FROM @qry;
EXECUTE stmt;
DEALLOCATE PREPARE stmt;
-- now grant DROP to the invoking user but only from localhost
SET @qry = CONCAT("
GRANT DROP ON life.`", @tbl, "`
TO CONCAT(?, \"@'localhost'\") IDENTIFIED BY 'password';
");
PREPARE stmt FROM @qry;
EXECUTE stmt USING @usr;
DEALLOCATE PREPARE stmt;
-- clean up
SET @qry = NULL;
SET @usr = NULL;
COMMIT;
END;;
DELIMITER ;
为了确保用户不以任何其他方式创建表,他们不应具有CREATE TABLE权限。
你也可以为数据库做类似的事情。