撤销用户CREATE和ALTER权限后仍能建表,是因为权限叠加生效、GRANT OPTION未撤、角色继承或CREATE TEMPORARY TABLES权限遗漏;必须全面检查并同步撤销DROP、INDEX等关联权限。撤销用户 CREATE 和 ALTER 权限后仍能建表?检查 GRANT OPTION 和角色继承MySQL 中直接 REVOKE CREATE, ALTER ON db.* FROM 'user'@'host' 不一定生效,常见原因是该用户被授予过 GRANT OPTION,或通过角色(MySQL 8.0+)间接继承了权限。权限撤销是"叠加式"的,不是覆盖式------只要任意一条 GRANT 语句给了 CREATE,用户就拥有它。用 SHOW GRANTS FOR 'user'@'host' 查所有显式授权,包括通过 WITH GRANT OPTION 授予的权限MySQL 8.0+ 要额外查角色:执行 SELECT * FROM mysql.role_edges WHERE TO_HOST = 'user'@'host',再对每个角色运行 SHOW GRANTS FOR ROLE 'role_name'撤销时必须明确指定作用域:REVOKE CREATE, ALTER ON `db_name`.* FROM 'user'@'host';漏掉数据库名(如写成 ON *.*)会导致撤销失败或范围错误ALTER 权限被绕过?注意 RENAME TABLE 和 TRUNCATE 的隐含依赖ALTER 权限控制的是修改表结构,但用户仍可能通过其他方式达成类似效果。比如 RENAME TABLE 需要原表和目标表的 ALTER 权限(或 DROP + CREATE),而 TRUNCATE TABLE 实际上等价于 DROP + CREATE,因此需要 DROP 和 CREATE 权限------即使你只撤了 ALTER,没动 DROP 和 CREATE,用户照样能清空并重建表。若要真正禁止结构变更,必须同时撤销 CREATE、DROP、ALTER、INDEX(影响 ADD INDEX)、REFERENCES(影响外键操作)TRUNCATE 无法单独授权,它依赖 DROP;所以禁止建表的同时,务必确认 DROP 也已撤销测试是否生效:用目标用户登录后执行 CREATE TABLE t1 (id INT) 和 ALTER TABLE t1 ADD c1 INT,观察是否返回 ERROR 1142 (42000): CREATE command denied 类错误权限生效延迟?FLUSH PRIVILEGES 并不总是必要MySQL 5.7 及以后版本中,大部分 REVOKE 操作会立即生效,无需 FLUSH PRIVILEGES;只有在直接修改 mysql.user 等系统表后才需要它。误用 FLUSH PRIVILEGES 不仅多余,还可能掩盖权限未正确撤销的问题------比如你忘了加 ON db.*,执行 FLUSH 后以为生效了,其实根本没 revoke 成功。 Vozo Vozo是一款强大的AI视频编辑工具,可以帮助用户轻松重写、配音和编辑视频。
相关推荐
Aision_3 小时前
从工具调用到 MCP、Skill完整学习记录辞旧 lekkk7 小时前
【Qt】信号和槽2301_809204708 小时前
JavaScript中严格模式use-strict对引擎解析的辅助.txtzjy277778 小时前
mysql如何选择合适的索引类型_mysql索引设计实战Aaswk8 小时前
Java Lambda 表达式与流处理笨蛋不要掉眼泪9 小时前
Mysql架构揭秘:update语句的执行流程万邦科技Lafite9 小时前
京东item_get接口实战案例:实时商品价格监控全流程解析秋910 小时前
ruoyi项目更换为mysql9.7.0数据库Andya_net10 小时前
MySQL | MySQL 8.0 权限管理实践-精确赋予库、表只读等权限Cyber4K10 小时前
【Python专项】进阶语法-系统资源监控与数据采集(1)