仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 732|回复: 8
打印 上一主题 下一主题

[学习教程] MYSQL网页编程之MySQL平安性指南(2)

[复制链接]
再见西城 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 22:34:33 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
也许最好的策略是以不变应万变:给客户他们所需要的,不多也不少。如果MySQL学习教程适合他们,他们就不应该买别的工具。事实上,云计算产业一直推崇自助服务,但提供这些服务的公司已经开始认识到解决方案提供商推销他们商品的价值。mysql|平安|平安性MySQL平安性指南(3)

晏子



2.4不必GRANT设置用户
假如你有一个早于3.22.11的MySQL版本,你不克不及利用GRANT(或REVOKE)语句设置用户及其会见权限,但你能够间接修正受权表的内容。假如你了解GRANT语句怎样修正受权表,这很简单。那末你经由过程手工收回INSERT语句就可以本人做一样的事变。

当你收回一条GRANT语句时,你指定一个用户名和主机名,大概另有口令。对该用户天生一个user表纪录,而且这些值纪录在User、Host和Password列中。假如你在GRANT语句中指定全局权限,这些权限纪录在纪录的权限列中。个中要注意的是GRANT语句为你加密口令,而INSERT不是,你必要在INSERT中利用PASSWORD()函数加密口令。

假如你指定命据库级权限,用户名和主机名被纪录在db表的User和Host列。你为其受权的数据库纪录在Db列中,你授与的权限纪录在权限列中。

关于表级和列级权限,效果是相似的。在tables_priv和columns_priv表中创立纪录以纪录用户名、主机名和数据库,另有相干的表和列。授与的权限纪录在权限列中。

假如你还记得后面的先容,你应当能即便不必GRANT语句也能做GRANT做的事变。记着在你间接修正受权表时,你将关照服务重视载受权表,不然他不晓得你的改动。你能够实行一个mysqladminflush-privileges或mysqladminreload命令强制一个重载。假如你健忘做这个,你会困惑为何服务器不做你想做的事变。

以下GRANT语句创立一个具有一切权的超等用户。包含受权给他人的才能:

GRANTALLON*.*TOanyname@localhostIDENTIFIEDBY"passwd"
WITHGRANTOPTION
该语句将在user表中为anyname@localhost创立一个纪录,翻开一切权限,由于这里是超等用户(全局)权限存储的中央,要用INSERT语句做一样的事变,语句是:

INSERTINTOuserVALUES("localhost","anyname",PASSWORD("passwd"),
"Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y")
你大概发明它不事情,这要看你的MySQL版本。受权表的布局已改动并且你在你的user表大概没有14个权限列。用SHOWCOLUMNS找出你的受权表包括的每一个权限列,响应地调剂你的INSERT语句。以下GRANT语句也创立一个具有超等用户身份的用户,可是只要一个单个的权限:

GRANTRELOADON*.*TOflush@localhostIDENTIFIEDBY"flushpass"
本例的INSERT语句比前一个复杂,它很简单列出列名并只指定一个权限列。一切别的列将设置为缺省的"N":

INSERTINTOuser(Host,Password,Reload)VALUES("localhost","flush",PASSWORD("flushpass"),"Y")
数据库级权限用一个ONdb_name.*子句而不是ON*.*举行受权:

GRANTALLONsample.*TOboris@localhostIDENTIFIEDBY"ruby"
这些权限不是全局的,以是它们不存储在user表中,我们仍旧必要在user表中创立一笔记录(使得用户能毗连),但我们也必要创立一个db表纪录纪录数据库集权限:

INSERTINTOuser(Host,User,Password)VALUES("localhost","boris",PASSWORD("ruby"))

INSERTINTOdbVALUES("localhost","sample_db","boris","Y","Y","Y","Y","Y","Y","N","Y","Y","Y")

"N"列是为GRANT权限;对开端的一个数据库级具有WITHGRANTOPTION的GRANT语句,你要设置该列为"Y"。

要设置表级或列级权限,你对tables_priv或columns_priv利用INSERT语句。固然,假如你没有GRANT语句,你将没有这些表,由于它们在MySQL中同时呈现。假如你的确有这些表而且为了某些缘故原由想要手工操纵它们,要晓得你不克不及用独自的列启用权限。

你设置tables_priv.Table_priv或columns_priv.Column_priv列来设置包括你想启用的权限值。比方,要对一个表启用SELECT和INSERT权限,你要在相干的tables_priv的纪录中设置Table_priv为"Select,Insert"。

假如你想对一个具有MySQL账号的用户修正权限,利用UPDATE而不是INSERT,不论你增添或打消权限都是如许。要完整删除一个用户,从用户利用的每一个表中删除纪录。

假如你乐意制止发一个查询来间接修正全权表,你能够看一下MySQL自带的mysqlaccess和mysql_setpermissions剧本。



附录1小检验
在你方才新安装了一个MySQL服务器,在你增添了一个同意毗连MySQL的用户,用以下语句:

GRANTALLONsamp_db.*TOfred@*.snake.netIDENTIFIED"cocoa"

而fred可巧在服务器主机上有个账号,以是他试图毗连服务器:

%mysql-ufred-pcocoasamp_db
ERROR1045:Accessdeniedforuser:fred@localhost(Usingpassword:YES)

为何?

缘故原由是:

先思索一下mysql_install_db怎样创建初始权限表和服务器怎样利用user表纪录婚配客户毗连。在你用mysql_install_db初始化你的数据库时,它创立相似如许的user表:

HostUser
localhost
pit.snake.net
localhost
pit.snake.netroot
root



头两个纪录同意root指定localhost或主机名毗连当地服务器,后两个同意匿名用户从当地毗连。当增添fred用户后,

HostUser
localhost
pit.snake.net
localhost
pit.snake.net
%.snake.netroot
root


fred

在服务器启动时,它读取纪录并排序它们(起首按主机,然后按主机上的用户),越详细越排在后面:

HostUser
localhost
localhost
pit.snake.net
pit.snake.net
%.snake.netroot

root

fred

有localhost的两个纪录排在一同,而对root的纪录排在第一,由于它比空值更详细。pit.snake.net的纪录也相似。一切这些均是没有任何通配符的字面上的Host值,以是它们排在对fred纪录的后面,出格是匿名用户排在fred之前。

了局是在fred试图从localhost毗连时,Host列中的一个空用户名的纪录在包括%.snake.net的纪录前婚配。该纪录的口令是空的,由于缺省的匿名用户没有口令。由于在fred毗连时指定了一个口令,由一个错配且毗连失利。

这里要记着的是,固然用通配符指定用户能够从其毗连的主机是很便利。但你从当地主机毗连时会有成绩,只需你在table表中保存匿名用户纪录。

一样平常地,倡议你删除匿名用户纪录:

mysql>DELETEFROMuserWHEREUser="";

更进一步,同时删除其他受权表中的任何匿名用户,有User列的表有db、tables_priv和columns_priv。

附录2使一个新的MySQL安装更平安
在你本人安装了一个新的MySQL服务器后,你必要为MySQL的root用户指定一个目次(缺省无口令),不然假如你健忘这点,你将你的MySQL处于极不平安的形态(最少在一段工夫内)。

在Unix(Linux)上,在依照手册的指令安装好MySQL后,你必需运转mysql_install_db剧本创建包括受权表的mysql数据库和初始权限。在Windows上,运转分发中的Setup程序初始化数据目次和mysql数据库。假定服务器也在运转。

当你第一次在呆板上安装MySQL时,mysql数据库中的受权表是如许初始化的:

你能够从当地主机(localhost)上以root毗连而不指定口令。root用户具有一切权限(包含办理权限)并可做任何事变。(特地申明,MySQL超等用户与Unix超等用户有不异的名字,他们相互毫有关系。)
匿名会见被授与用户可从当地毗连名为test和任何名字以test_入手下手的数据库。匿名用户可对数据库做任何事变,但无办理权限。
从当地主机多服务器的毗连是同意的,不论毗连的用户利用一个localhost主机名或实在主机名。如:

%mysql-hlocalhosttest

%mysql-hpit.snake.nettest

你以root毗连MySQL乃至不指定口令的现实只是意味着初始安装不平安,以是作为办理员的你起首要做的应当是设置root口令,然后依据你设置口令利用的办法,你也能够告知服务重视载受权表是它晓得这个改动。(在服务器启动时,它重载表到内存中而大概不晓得你已修正了它们。)

对MySQL3.22和以上版本,你能够用mysqladmin设置口令:

%mysqladmin-urootpasswordyourpassword

关于MySQL的任何版本,你能够用mysql程序并间接修正mysql数据库中的user受权表:

%mysql-urootmysql
mysql>UPDATEuserSETpassword=PASSWORD("yourpassword")WHEREUser="root";

假如你有MySQL的老版本,利用mysql和UPDATE。

在你设置完口令后,经由过程运转以下命令反省你是不是必要告知服务重视载受权表:

%mysqladmin-urootstatus

假如服务器仍旧让你以root而不指定口令而毗连服务器,重载受权表:

%mysqladmin-urootreload

在你设置了root的口令后(而且假如必要重载了受权表),你将必要在任什么时候候以root毗连服务器时指定口令。
DBaaS并不意味着解决方案提供者要让自己失业。与其他系统一样,在实施DBaaS解决方案时,客户可能需要部署、迁移、支持、异地备份、系统集成和灾难恢复等方面的帮助。
老尸 该用户已被删除
沙发
发表于 2015-1-19 17:02:28 来自手机 | 只看该作者
这一点很好的加强了profiler的功能。但是提到profiler提醒大家注意一点。windows2003要安装sp1补丁才能启动profiler。否则点击没有反应。
精灵巫婆 该用户已被删除
板凳
发表于 2015-1-24 14:59:41 | 只看该作者
总感觉自己还是不会SQL
小妖女 该用户已被删除
地板
发表于 2015-2-1 17:10:25 | 只看该作者
SP4包括用于以下SQLServer2000组件的程序包:Database组件(下载文件:SQL2000-KB884525-SP4-x86.EXE)更新SQLServer2000的32位Database组件,包括数据库引擎、复制、客户端连接组件及工具。有关其他信息,请参阅ReadmeSql2k32Sp4.htm。AnalysisServices组件(下载文件:SQL2000.AS-KB884525-SP4-x86.EXE)更新SQLServer2000的32位AnalysisServices。
蒙在股里 该用户已被删除
5#
发表于 2015-2-7 12:01:57 | 只看该作者
索引视图2k就有。但是2005对其效率作了一些改进但是schema.viewname的作用域真是太限制了它的应用面。还有一大堆的环境参数和种种限制都让人对它有点却步。
深爱那片海 该用户已被删除
6#
发表于 2015-2-21 20:37:45 | 只看该作者
作了些试验,发现使用CLR的存储过程或函数在达到一定的阀值的时候,系统性能会呈指数级下滑!这是非常危险的!只使用几个可能没有问题,当一旦大规模使用会造成严重的系统性能问题!
爱飞 该用户已被删除
7#
发表于 2015-3-6 21:31:40 | 只看该作者
不好!如果出了错;不好调试;不好处理!其实web开发将代码分为3层:web层;业务逻辑层和数据访问层;一般对数据库的操作都在数据访问层来做;这样便于调试和维护!而且将来如果是换了数据库的话;你只需要改数据层的代码;其他层的基本可以不变!要是你在jsp中直接调用sql数据库;那么如果换了数据库呢?岂不都要改?如果报了异常呢?怎么做异常处理?
莫相离 该用户已被删除
8#
发表于 2015-3-13 21:44:23 | 只看该作者
代替了原来VB式的错误判断。比Oracle高级不少。
愤怒的大鸟 该用户已被删除
9#
发表于 2015-3-20 19:30:29 | 只看该作者
分区表效率问题肯定是大家关心的问题。在我的试验中,如果按照分区字段进行的查询(过滤)效率会高于未分区表的相同语句。但是如果按照非分区字段进行查询,效率会低于未分区表的相同语句。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 19:38

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表