能,但必须显式撤销所有非SELECT权限并检查层级、角色和会话缓存,否则可能因旧权限、全局权限、角色叠加或未重连导致绕过。MySQL 用户只读权限到底能不能靠 GRANT SELECT 实现能,但必须同时撤销所有其他权限,否则用户可能通过其他方式绕过限制。MySQL 的权限模型是"显式授予",不是"默认拒绝",GRANT SELECT 只加权限,不删权限。常见错误现象:GRANT SELECT ON db.* TO 'ro_user'@'%'; 执行后,用户仍能 DROP TABLE 或 INSERT------因为旧账号之前被授予过 ALL PRIVILEGES,或者被赋予了角色(如 mysql.session)间接带出高权限。先用 SHOW GRANTS FOR 'ro_user'@'%'; 确认当前所有权限,别猜务必搭配 REVOKE INSERT, UPDATE, DELETE, DROP, CREATE, ALTER, INDEX, LOCK TABLES, EXECUTE ON db.* FROM 'ro_user'@'%';如果用户有全局权限(比如 USAGE 以外的 GRANT OPTION),也得单独 revoke,否则可能越权授权给他人只读权限要覆盖哪些对象层级才真正安全MySQL 权限按层级生效:全局(*)、库级(db.*)、表级(db.table)、列级(db.table(col))。只读不是"设一次就完事",漏掉某一层就等于留后门。使用场景:多租户 SaaS 中为客户数据库配只读账号;BI 工具连接数仓时禁止写操作;备份脚本账户需最小权限。优先在库级授权:GRANT SELECT ON `myapp_prod`.* TO 'bi_reader'@'10.20.%';避免用 GRANT SELECT ON *.* ------ 这会包含 mysql 系统库,用户可查 mysql.user 密码哈希(5.7+ 是 authentication_string 字段)如果业务明确只要某张表,用表级更细:GRANT SELECT ON `logdb`.`events_2024` TO 'log_reader'@'%';,但注意分区表、临时表、视图依赖的底层表也要检查权限REVOKE 后为什么 SHOW GRANTS 还显示旧权限权限变更不会实时刷新到已存在的连接,这是 MySQL 的设计行为。用户当前会话仍保留旧权限,新连接才生效。 Cleanup.pictures 智能移除图片中的物体、文本、污迹、人物或任何不想要的东西
相关推荐
曹牧4 小时前
Oracle:前缀匹配之REGEXP_LIKEUnbelievabletobe5 小时前
解决了股票api接口盘后数据更新慢的问题lpd_lt6 小时前
AI Coding的常用Prompt技巧小江的记录本6 小时前
【JVM虚拟机】堆内存分代模型:年轻代(Eden+Survivor)、老年代、元空间Metaspace(附《思维导图》+《面试高频考点清单》)在繁华处6 小时前
Java从零到熟练(三):流程控制asdzx676 小时前
使用 Python 快速提取 PDF 中的表格无情的西瓜皮7 小时前
MCP协议实战:用Python从零搭建一个AI Agent工具服务器(保姆级教程)暴躁小师兄数据学院7 小时前
【AI大数据工程师特训笔记】第05讲:关联查询倔强的石头_7 小时前
《Kingbase护城河》——跨平台环境下的数据库联调实战lzhdim7 小时前
SQL 入门 17:MySQL 数据类型:从字符串到 JSON 的全面解析