每次你发出一个查询,服务器检查你是否有足够的权限执行它,它以user、db、tables_priv和columns_priv的顺序检查,知道它确定你有适当的访问权限或已搜索所有表而一无所获。更具体的说:
·服务器检查user表匹配你开始连接的记录以查看你有什么全局权限。如果你有并且它们对查询足够了,服务器则执行它。 ·如果你的全局权限不够,服务器为你在db表中寻找并将该记录中的权限加到你的全局权限中。如果结果对查询足够,服务器执行它。 ·如果你的全局和数据库级组合的权限不够,服务器继续查找,首先在tables_priv表,然后columns_priv表。 ·如果你在检查了所有表之后仍无权限,服务器拒绝你执行查询的企图。 用布尔运算的术语,授权表中的权限被服务器这样使用:
user OR tables_priv OR columns_priv
你可能疑惑为什么前面的描述只引用4个授权表,而实际上有5个。实际上服务器是这样检查访问权限:
user OR (db AND host) OR tables_priv OR columns_priv
第一个较简单的表达式是因为host表不受GRANT和REVOKE语句影响。如果你总是用GRANT和REVOKE管理用户权限,你绝不需要考虑host表。但是其工作原理你用该知道:
·当服务器检查数据库级权限时,它对于客户查找db表。如果Host列是空的,它意味着“检查host表以找出哪一个主机能访问数据库”。
·服务器在host表中查找有与来自db表的记录相同的Db列值。如果没有host记录匹配客户主机,则没有授予数据库级权限。如果这些记录的任何一个的确有一个匹配连接的客户主机的Host列值,db表记录和host表记录结合产生客户的数据库级权限。 然而,权限用一个逻辑AND(与)结合起来,这意味着除非一个给定的权限在两个表中都有,否则客户就不具备该权限。以这种方式,你可以在db表中授予一个基本的权限集,然后使用host表对特定的主机有选择地禁用它们。如你可以允许从你的域中的所有主机访问数据库,但关闭了那些在较不安全区域的主机的数据库权限。
前面的描述毫无疑问使访问检查听起来一个相当复杂的过程,特别是你以为服务器对你发出的每个查询进行权限检查,然而此过程是很快的,因为服务器其实不从授权表对每个查询查找信息,相反,它在启动时将表的内容读入内存,然后验证查询用的是内存中的副本。这大大提高了访问检查操作的性能。但有一个非常明显的副作用。如果你直接修改授权表的内容,服务器将不知道权限的改变。
例如,如果你用一条INSERT语句向user表加入一个新记录来增加一个新用户,命名在记录中的用户将不能连接服务器。这对管理员新手(有时对有经验的老手)是很困惑的事情,当时解决方法很简单:在你改变了它们之后告诉服务器重载授权表内容,你可以发一条FLUSH PRIVILEGES或执行mysqladmin flush-privileges(或如果你有一个不支持flush-privileges的老版本,用mysqladmin reload。)
在你使用MySQL时,客户访问控制有两个阶段。第一阶段发生在你试图连接服务器时。服务器查找user表看它是否能找到一个条目匹配你的名字、你正在从那儿连接的主机和你提供的口令。如果没有匹配,你就不能连接。如果有一个匹配,建立连接并继续第二阶段。在这个阶段,对于每一个你发出的查..
MySQLMySQL当服务器读取user表内容时,它根据在Host和User列中的值排序记录,Host作用(相同的值排在一起,然后再根据User值排序)。然而,排序不是典序(按词排序),它只是部分是。要牢记的是字面上的词优先于模式。这意味着如果你正从client.your.netHostclient.your.net%.yo..
查询访问验证的原理
每次你发出一个查询,服务器检查你是否有足够的权限执行它,它以user、db、tables_priv和columns_priv的顺序检查,知道它确定你有适当的访问权限或已搜索所有表而一无所获。更具体的说:
·服务器检查user表匹配你开始连接的记录以查看你有什么全局权限。如果你有并且它们对查询足够了,服务器则执行它。
·如果你的全局权限不够,服务器为你在db表中寻找并将该记录中的权限加到你的全局权限中。如果结果对查询足够,服务器执行它。
·如果你的全局和数据库级组合的权限不够,服务器继续查找,首先在tables_priv表,然后columns_priv表。
·如果你在检查了所有表之后仍无权限,服务器拒绝你执行查询的企图。
用布尔运算的术语,授权表中的权限被服务器这样使用:
user OR tables_priv OR columns_priv
你可能疑惑为什么前面的描述只引用4个授权表,而实际上有5个。实际上服务器是这样检查访问权限:
user OR (db AND host) OR tables_priv OR columns_priv
第一个较简单的表达式是因为host表不受GRANT和REVOKE语句影响。如果你总是用GRANT和REVOKE管理用户权限,你绝不需要考虑host表。但是其工作原理你用该知道:
·当服务器检查数据库级权限时,它对于客户查找db表。如果Host列是空的,它意味着“检查host表以找出哪一个主机能访问数据库”。
·服务器在host表中查找有与来自db表的记录相同的Db列值。如果没有host记录匹配客户主机,则没有授予数据库级权限。如果这些记录的任何一个的确有一个匹配连接的客户主机的Host列值,db表记录和host表记录结合产生客户的数据库级权限。
然而,权限用一个逻辑AND(与)结合起来,这意味着除非一个给定的权限在两个表中都有,否则客户就不具备该权限。以这种方式,你可以在db表中授予一个基本的权限集,然后使用host表对特定的主机有选择地禁用它们。如你可以允许从你的域中的所有主机访问数据库,但关闭了那些在较不安全区域的主机的数据库权限。
前面的描述毫无疑问使访问检查听起来一个相当复杂的过程,特别是你以为服务器对你发出的每个查询进行权限检查,然而此过程是很快的,因为服务器其实不从授权表对每个查询查找信息,相反,它在启动时将表的内容读入内存,然后验证查询用的是内存中的副本。这大大提高了访问检查操作的性能。但有一个非常明显的副作用。如果你直接修改授权表的内容,服务器将不知道权限的改变。
例如,如果你用一条INSERT语句向user表加入一个新记录来增加一个新用户,命名在记录中的用户将不能连接服务器。这对管理员新手(有时对有经验的老手)是很困惑的事情,当时解决方法很简单:在你改变了它们之后告诉服务器重载授权表内容,你可以发一条FLUSH PRIVILEGES或执行mysqladmin flush-privileges(或如果你有一个不支持flush-privileges的老版本,用mysqladmin reload。)
在你使用MySQL时,客户访问控制有两个阶段。第一阶段发生在你试图连接服务器时。服务器查找user表看它是否能找到一个条目匹配你的名字、你正在从那儿连接的主机和你提供的口令。如果没有匹配,你就不能连接。如果有一个匹配,建立连接并继续第二阶段。在这个阶段,对于每一个你发出的查..
MySQLMySQL当服务器读取user表内容时,它根据在Host和User列中的值排序记录,Host作用(相同的值排在一起,然后再根据User值排序)。然而,排序不是典序(按词排序),它只是部分是。要牢记的是字面上的词优先于模式。这意味着如果你正从client.your.netHostclient.your.net%.yo..