Виктор Гольцман - MySQL 5.0. Библиотека программиста
Примечание
Здесь приведены только те типы привилегий, которые требуются для выполнения операций, описанных в данной книге. Полный список типов привилегий вы можете найти в документации компании-разработчика на веб-странице http://dev.mysql.com/doc/refman/5.0/en/privileges-provided.html.
Областью действия привилегии могут быть:
• все базы данных (такие привилегии называются глобальными);
• отдельная база данных;
• таблица;
• столбец таблицы.
Каждый тип привилегии имеет свои допустимые области действия. Так, привилегии FILE, SHOW DATABASES, RELOAD, SUPER и CREATE USER могут быть только глобальными. Привилегия LOCK TABLES может применяться глобально или к отдельным базам данных, но не к отдельным таблицам. К отдельным столбцам таблицы применимы только привилегии SELECT, INSERT и UPDATE.
Чтобы получить разрешение на выполнение операции с каким-либо объектом базы данных, пользователю достаточно иметь привилегию соответствующего типа для какой-либо области действия, содержащей этот объект. Например, пользователь сможет выполнить запрос данных из столбца description (наименование) таблицы Products (Товары) базы данных SalesDept (Отдел продаж), если у него есть хотя бы одна из следующих привилегий:
• глобальная привилегия SELECT;
• привилегия SELECT для базы данных SalesDept;
• привилегия SELECT для таблицы Products;
• привилегия SELECT для столбца description.
Для выполнения некоторых операций может потребоваться несколько типов привилегий. Например, команда
UPDATE SalesDept.Products SET price='548.00' WHERE id=5;
доступна пользователю, если у него одновременно есть привилегия SELECT для таблицы Products (или для базы данных SalesDept, или глобальная) и привилегия UPDATE для столбца price (или для таблицы Products, или для базы данных SalesDept, или глобальная).
Теперь, получив общее представление о привилегиях доступа в MySQL, вы можете переходить к назначению привилегий пользователям.
Предоставление привилегий
Для предоставления привилегий пользователям используется командаGRANT <Тип привилегии>
[(<Список столбцов>)] ON <Область действия>
TO <Идентификатор пользователя>
[WITH GRANT OPTION];В качестве области действия вы можете указать одно из следующих значений:
• *.* – привилегия будет действовать глобально;
• <Имя базы данных>.* – привилегия будет действовать для указанной базы данных;
• * – привилегия будет действовать для базы данных, которая в момент выполнения команды GRANT являлась текущей;
• <Имя базы данных>.<Имя таблицы> или <Имя таблицы> – привилегия будет действовать для указанной таблицы (если имя базы данных не указано, подразумевается текущая база данных). Если требуется создать привилегию не для всей таблицы, а только для отдельных столбцов, необходимо перечислить эти столбцы в скобках перед ключевым словом ON.
Рассмотрим несколько примеров.
• GRANT CREATE ON *.* TO 'anna'@'localhost
Команда предоставляет пользователю anna'@'localhost привилегию на создание баз данных и таблиц в любой базе данных.
• GRANT DROP ON SalesDept.* TO 'anna'@'localhost
Команда предоставляет пользователю anna'@'localhost привилегию на удаление таблиц в базе данных SalesDept (Отдел продаж), а также на удаление самой базы данных SalesDept.
• GRANT SELECT ON SalesDept.Products TO 'anna'@'localhost Команда предоставляет пользователю anna'@'localhost привилегию на получение данных из таблицы Products (Товары) базы данных SalesDept (Отдел продаж).
• GRANT UPDATE (price) ON SalesDept.Products TO 'anna'@'localhost Команда предоставляет пользователю anna'@'localhost привилегию на изменение данных в столбце price (цена) таблицы Products (Товары).
При назначении привилегий необходимо иметь в виду следующие особенности.
• Если учетная запись с указанным идентификатором не существует, команда GRANT может создать такую запись. Отключить автоматическое создание учетной записи позволяет ключевое слово NO_AUTO_CREATE_USER в значении переменной sql_mode (напомню, что настройку режима взаимодействия с сервером MySQL мы обсуждали в подразделе «Вставка отдельных строк» главы 2).
• Привилегию ALTER рекомендуется предоставлять с осторожностью: путем переименования таблиц и столбцов пользователь может изменить настройки системы привилегий.
• Если при создании привилегии вы указываете параметр WITH GRANT OPTION, то пользователь получает возможность «делиться» не только созданной привилегией, но и другими своими привилегиями в рамках данной области действия. Например, после выполнения командGRANT SELECT ON *.* TO 'marina
GRANT INSERT ON SalesDept.* TO 'marina' WITH GRANT OPTION;
GRANT DELETE ON SalesDept.Customers TO 'marinaпользователь marina может предоставлять другим пользователям следующие привилегии:
– привилегии SELECT, INSERT и GRANT OPTION на уровне базы данных SalesDept (Отдел продаж). Хотя сам пользователь marina имеет глобальную привилегию SELECT, его возможности делегирования привилегий ограничены базой данных SalesDept;
– привилегию DELETE на уровне таблицы Customers (Клиенты) базы данных SalesDept, так как область действия этой привилегии входит в область действия привилегии GRANT OPTION.
• Если вы предоставляете привилегию GRANT OPTION нескольким пользователям, эти пользователи могут «обменяться» привилегиями, то есть объединить свои наборы привилегий.
• Привилегии, областью действия которых является таблица или столбец, вступают в силу немедленно – пользователь может сразу же начать выполнять SQL-команды, разрешенные ему новой привилегией. Привилегии, относящиеся к базе данных, начинают действовать после выполнения команды USE <имя базы данных>, то есть после выбора какой-либо базы данных в качестве текущей. Глобальные привилегии начинают применяться при следующем подключении пользователя к серверу MySQL.
Итак, вы познакомились с командой добавления привилегий. В следующем подразделе мы рассмотрим команду отмены привилегий.
Отмена привилегий
Чтобы удалить привилегию, ранее назначенную пользователю, используется командаREVOKE <Тип привилегии>
[(<Список столбцов>)] ON <Область действия>
FROM <Идентификатор пользователя>;Например,:
• REVOKE CREATE ON *.* FROM 'anna'@'localhost
Команда отменяет глобальную привилегию пользователя 'anna'@'localhost', разрешавшую создание баз данных и таблиц.
• REVOKE DROP ON SalesDept.* FROM 'anna'@'localhost Команда отменяет привилегию пользователя 'anna'@'localhost' на удаление базы данных SalesDept (Отдел продаж) и таблиц в этой базе данных.
• REVOKE SELECT ON SalesDept.Products
FROM 'anna'@'localhost
Команда отменяет привилегию пользователя 'anna'@'localhost' на получение данных из таблицы Products (Товары) базы данных SalesDept.
• REVOKE UPDATE (price) ON SalesDept.Products
FROM 'anna'@'localhost
Команда отменяет привилегию пользователя 'anna'@'localhost' на изменение данных в столбце price (цена) таблицы Products (Товары).
Параметры команды REVOKE имеют тот же смысл, что и параметры команды GRANT. Аналогичны и правила вступления изменений в силу.
Отметим, что в MySQL при удалении баз данных, таблиц и столбцов связанные с ними привилегии не удаляются автоматически; для удаления таких привилегий требуется выполнить команду REVOKE.
Теперь вы знаете, как добавлять и удалять привилегии доступа. В следующем подразделе мы обсудим, как получить информацию о зарегистрированных привилегиях.
Просмотр привилегий
Сведения о привилегиях доступа содержатся в следующих таблицах системной базы данных mysql.
• Глобальные привилегии хранятся в таблице user (пользователь), которая уже знакома нам из предыдущего раздела. Каждому типу привилегии соответствует отдельный столбец, допускающий значения 'Y' (операция разрешена) и 'N' (операция не разрешена).
• Привилегии, областью действия которых является отдельная база данных, хранятся в таблице db (база данных). Первичный ключ в этой таблице образуют столбцы Host (хост), Db (база данных) и User (пользователь). Таким образом, каждая строка таблицы определяет привилегии одного пользователя по отношению к одной базе данных. Как и в таблице user, каждой привилегии соответствует отдельный столбец, возможными значениями которого являются 'Y' и 'N'....Примечание
При проверке доступа пользователей к базе данных используется также таблица host. Однако команды GRANT и REVOKE не затрагивают эту таблицу, и обычно она остается пустой.
• Привилегии, относящиеся к отдельным таблицам, хранятся в таблице tables_ priv. Первичным ключом в этой таблице служат столбцы Host (Хост), Db (База данных), User (Пользователь) и Table_name (Имя таблицы). Таким образом, каждая строка таблицы tables_priv определяет привилегии доступа конкретного пользователя к конкретной таблице. Типы привилегий, которыми обладает пользователь, перечислены в столбце Table_priv (Привилегии доступа к таблице), имеющем тип данных SET. Кроме того, в таблице tables_priv имеется столбец Column_priv (Привилегии доступа к столбцу) с типом данных SET, значение которого указывает, что у пользователя имеются привилегии доступа к отдельным столбцам таблицы.