mysql如何配置用户只读权限_授予SELECT权限与限制操作

能,但必须显式撤销所有非SELECT权限并检查层级、角色和会话缓存,否则可能因旧权限、全局权限、角色叠加或未重连导致绕过。MySQL 用户只读权限到底能不能靠 GRANT SELECT 实现能,但必须同时撤销所有其他权限,否则用户可能通过其他方式绕过限制。MySQL 的权限模型是"显式授予",不是"默认拒绝",GRANT SELECT 只加权限,不删权限。常见错误现象:GRANT SELECT ON db.* TO 'ro_user'@'%'; 执行后,用户仍能 DROP TABLE 或 INSERT------因为旧账号之前被授予过 ALL PRIVILEGES,或者被赋予了角色(如 mysql.session)间接带出高权限。先用 SHOW GRANTS FOR 'ro_user'@'%'; 确认当前所有权限,别猜务必搭配 REVOKE INSERT, UPDATE, DELETE, DROP, CREATE, ALTER, INDEX, LOCK TABLES, EXECUTE ON db.* FROM 'ro_user'@'%';如果用户有全局权限(比如 USAGE 以外的 GRANT OPTION),也得单独 revoke,否则可能越权授权给他人只读权限要覆盖哪些对象层级才真正安全MySQL 权限按层级生效:全局(*)、库级(db.*)、表级(db.table)、列级(db.table(col))。只读不是"设一次就完事",漏掉某一层就等于留后门。使用场景:多租户 SaaS 中为客户数据库配只读账号;BI 工具连接数仓时禁止写操作;备份脚本账户需最小权限。优先在库级授权:GRANT SELECT ON `myapp_prod`.* TO 'bi_reader'@'10.20.%';避免用 GRANT SELECT ON *.* ------ 这会包含 mysql 系统库,用户可查 mysql.user 密码哈希(5.7+ 是 authentication_string 字段)如果业务明确只要某张表,用表级更细:GRANT SELECT ON `logdb`.`events_2024` TO 'log_reader'@'%';,但注意分区表、临时表、视图依赖的底层表也要检查权限REVOKE 后为什么 SHOW GRANTS 还显示旧权限权限变更不会实时刷新到已存在的连接,这是 MySQL 的设计行为。用户当前会话仍保留旧权限,新连接才生效。 Cleanup.pictures 智能移除图片中的物体、文本、污迹、人物或任何不想要的东西

相关推荐
weixin_408717772 小时前
HTML怎么标注成就连续打卡中断_HTML“断连,重新开始”提示【方法】
jvm·数据库·python
m0_743623922 小时前
怎么通过Navicat快速实现离线模式下使用云端资源_企业协同实战指南
jvm·数据库·python
沐风。562 小时前
python
java·服务器·python
tjc199010052 小时前
MySQL数据插入报错数据截断_检查字段长度与数据类型
jvm·数据库·python
a9511416422 小时前
CSS定位如何实现模态框垂直居中_使用负边距或transform
jvm·数据库·python
JaydenAI2 小时前
[FastMCP设计、原理与应用-11]Transform——数据炼金术,跨协议边界的无缝适配与格式转换
python·ai编程·ai agent·mcp·fastmcp
张青贤2 小时前
ETCD数据迁移
数据库·etcd·数据迁移·apisix网关
2301_775148152 小时前
c++怎么抛出文件读写异常_exceptions()方法开启流异常【详解】
jvm·数据库·python
码农很忙2 小时前
从零到英雄:使用 Playwright 实现高效网页数据爬取与自动化测试
爬虫·python