能,但必须显式撤销所有非SELECT权限并检查层级、角色和会话缓存,否则可能因旧权限、全局权限、角色叠加或未重连导致绕过。MySQL 用户只读权限到底能不能靠 GRANT SELECT 实现能,但必须同时撤销所有其他权限,否则用户可能通过其他方式绕过限制。MySQL 的权限模型是"显式授予",不是"默认拒绝",GRANT SELECT 只加权限,不删权限。常见错误现象:GRANT SELECT ON db.* TO 'ro_user'@'%'; 执行后,用户仍能 DROP TABLE 或 INSERT------因为旧账号之前被授予过 ALL PRIVILEGES,或者被赋予了角色(如 mysql.session)间接带出高权限。先用 SHOW GRANTS FOR 'ro_user'@'%'; 确认当前所有权限,别猜务必搭配 REVOKE INSERT, UPDATE, DELETE, DROP, CREATE, ALTER, INDEX, LOCK TABLES, EXECUTE ON db.* FROM 'ro_user'@'%';如果用户有全局权限(比如 USAGE 以外的 GRANT OPTION),也得单独 revoke,否则可能越权授权给他人只读权限要覆盖哪些对象层级才真正安全MySQL 权限按层级生效:全局(*)、库级(db.*)、表级(db.table)、列级(db.table(col))。只读不是"设一次就完事",漏掉某一层就等于留后门。使用场景:多租户 SaaS 中为客户数据库配只读账号;BI 工具连接数仓时禁止写操作;备份脚本账户需最小权限。优先在库级授权:GRANT SELECT ON `myapp_prod`.* TO 'bi_reader'@'10.20.%';避免用 GRANT SELECT ON *.* ------ 这会包含 mysql 系统库,用户可查 mysql.user 密码哈希(5.7+ 是 authentication_string 字段)如果业务明确只要某张表,用表级更细:GRANT SELECT ON `logdb`.`events_2024` TO 'log_reader'@'%';,但注意分区表、临时表、视图依赖的底层表也要检查权限REVOKE 后为什么 SHOW GRANTS 还显示旧权限权限变更不会实时刷新到已存在的连接,这是 MySQL 的设计行为。用户当前会话仍保留旧权限,新连接才生效。 Cleanup.pictures 智能移除图片中的物体、文本、污迹、人物或任何不想要的东西
相关推荐
92year3 小时前
用Google ADK从零搭一个能调工具的AI Agent:Python实操全过程woxihuan1234563 小时前
SQL删除数据时存在依赖关系_设置外键级联删除ON DELETE东风破1373 小时前
DM8达梦共享存储集群DSC搭建步骤雪碧聊技术3 小时前
当数据库字段数大于Java实体类属性数时,MyBatis还能映射成功吗?一文详解Jetev3 小时前
如何确定SQL字段是否为空_使用IS NULL与IS NOT NULL蛐蛐蛐4 小时前
昇腾910B4上安装新版本CANN的正确流程m0_702036534 小时前
mysql如何处理不走索引的OR查询_使用UNION ALL优化重写代钦塔拉4 小时前
Qt4 vs Qt5 带参数信号槽的连接方式详解2401_846339564 小时前
MySQL在云环境如何选择存储类型_SSD与高性能云盘配置建议2601_957780845 小时前
Claude 4.6 对阵 GPT-5.4:2026 开发者大模型 API 选型深度解析