mysql学习笔记之权限

最新推荐文章于 2024-04-22 09:52:50 发布
最新推荐文章于 2024-04-22 09:52:50 发布
阅读量238 收藏
点赞数
分类专栏: 学习笔记 文章标签: mysql 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fake_hydra/article/details/83010139
版权
MySQL权限的定义
01.作用对象
 库、表
02.权限
 细化到具体命令
03.归属
 每次设定只能有一个“属主”。没有属组或其他 概念
grant all on test.* to test@‘10.0.0.%’ identified by ‘123’;
 grant  --授权命令
 all    --所有权限代表,等价于把所有权限输一遍
 on     --指定作用对象
 test,* --作用对象
 to     --指定用户
 identified by  --指定密码
 PS:grant ,若是用户不存在会自动创建用户
作用对象分解:
 *.*:当前MySQL数据库中所有库中的所有表,全局。(一般为管理员)
 test.*:单库级别,当前test库下的所有表
 test.t1:单表级别,当前test库下的t1表
企业中权限的使用(沟通)
 1.权限范围:指定库or表
 2.使用网段:localhost 或者 其他网段
 3.用户名:按需设置
 4.密码:按需设定
 PS:root权限不可随意给与
讨论:对一个用户在不同级别设置权限,最终权限是什么
测试环境
 mysql> create database test;
 
 mysql> use test
 
 mysql> create table t1 (id int);
 
 mysql> create table t2 (id int);
 
 mysql> create database test01;
 
 mysql> use test01
 
 mysql> create table tt1(id int);
 
 a) mysql> grant select on *.* to test@'10.0.0.%' identified by '123';

 b) mysql> grant insert,delete,update on test.* to test@'10.0.0.%' identified by '123';

 c) mysql> grant all on test.t1 to test@'10.0.0.%' identified by '123';
问:某客户端程序使用test用户从10.0.0.210 登陆到mysql中后
1)对t1表的管理能力
 同时满足授权a b c,所以最终权限为a+b+c
2) 对t2表的管理能力?
 同时满足了授权a b ,所以最终权限为a+b
3)对tt1表的管理能力
 因为只满足授权(a),所以对tt1表只有select权限
 mysql> drop tables tt1;
 ERROR 1142 (42000): DROP command denied 
 mysql> select * from tt1;
 Empty set (0.00 sec)
结论:若在不同级别同时包含某个表的管理能力时,权限是相加关系
不推荐多级定义重复权限
常用授权为单库授权,即test.*
Ahri-情书
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql权限作用范围和修改策略
weixin_34137799的博客
02-19 295
2019独角兽企业重金招聘Python工程师标准>>> ...
神器!MySQL蜜罐服务GUI利用工具
潇湘信安的博客
07-17 592
开源的一个MySQL蜜罐服务利用工具,这个项目是MySQL_Fake_Server的高级版,当JDBC URL可控时,特殊的MySQL服务端可以读取JDBC客户端任意文件或执行反序列化操作,完全使用Java实现部分MySQL协议,内置常见ysoserial链,一键启动,自动生成可用的payload用于测试。
Mysql蜜罐使用
Fly_鹏程万里
05-04 1879
文章前言 本篇文章我们主要介绍如何通过搭建一个Fake Mysql来伪装Mysql服务器并诱导攻击者来连接,之后利用漏洞来读取攻击者电脑的文件以进行对攻击者进行刻画肖像 获取思路 下面我们介绍一下读取手机号和微信ID的正常方法,分为以下三个步骤: 通过C:/Windows/PFRO.log获取windows用户名 通过C:/Users/用户名/Documents/WeChat Files/All Users/config/config.data获取wxid 通过C:/Users/用户名/Do..
网络安全-JDBC反序列化漏洞与RCE
关注网络安全、云原生安全
04-16 2970
可以看到执行语句后,在生成结果集时使用了ResultUtil的resultSetToMap函数,继续点击去,可以看到使用了getObject和readObject,而readObject就在反序列化时自动调用。Y4tacker师傅的脚本会读取a文件,没有的话就使用默认的,也能达到RCE的效果,这个在url中就不必指定user了。这里只需要连接就行,没有安装的话可以使用Java的mysql jdbc包连接也可以。虽然演讲者给出了调用链,但是没有提供恶意服务器,这就需要我们抓包,编写一个假的服务器。
探索MySQL Fake Server:一个强大的数据库模拟工具
gitblog_00048的博客
04-22 421
探索MySQL Fake Server:一个强大的数据库模拟工具 项目地址:https://gitcode.com/4ra1n/mysql-fake-server 在开发和测试过程中,有时我们需要一个可以快速创建、配置并模拟真实MySQL服务器的工具。这就是MySQL Fake Server的用武之地。这个开源项目能够帮助开发者在不依赖实际数据库的情况下进行工作,提高了效率并降低了环境配置的复杂...
MySQL学习笔记MySQL学习笔记
05-03
MySQL是世界上最受欢迎的关系型数据库管理系统之一,尤其在Web开发领域中广泛应用。学习MySQL不仅包括了数据库的基本概念,还包括了SQL语言的使用,如查询、插入、更新和删除数据,以及数据库设计和管理。 首先,...
MySQL学习笔记.zip
02-23
这份“MySQL学习笔记”将引导我们深入理解其核心概念和实用技能。 一、MySQL简介 MySQL是一个开源、免费的数据库系统,由瑞典的MySQL AB公司开发,后被Oracle公司收购。它的设计目标是速度、可移植性和简洁性,支持...
mysql学习笔记之帮助文档
12-16
MySQL学习过程中,掌握如何有效地使用帮助文档是至关重要的,因为这能让你快速找到所需的信息。MySQL的帮助系统提供了丰富的资源,涵盖了从基本概念到高级特性的各种主题。本篇笔记将详细探讨如何利用`help`命令来...
MySql学习笔记(详细)
最新发布
05-18
### MySQL学习笔记(详细) #### 一、数据库操作 MySQL是一种关系型数据库管理系统,通过一系列命令来进行数据库的管理和数据的处理。以下是一些常见的数据库操作命令: - **连接MySQL服务器**: - `mysql -u ...
mysql学习笔记
12-16
这份“mysql学习笔记”涵盖了MySQL的基础知识,包括但不限于数据库的概念、SQL语言的使用、以及更深入的多表操作。 在“day08入门笔记”中,你可能会学到以下内容: 1. **数据库基本概念**:了解什么是数据库,...
MySQL_Fake_Server:MySQL Fake Server用于帮助MySQL客户端文件读取和JDBC客户端Java反序列化
04-22
MySQL Fake Server |简体中文 用于渗透测试过程中的假MySQL服务器,纯原生python3实现,不依赖其它包。 修改自项目 用途 MySQL服务端读取客户端文件漏洞利用 MySQL JDBC客户端Java反序列化漏洞利用 说明 需要python3环境,无任何其它依赖。 运行:python server.py 需要才能用反序列化功能,支持ServerStatusDiffInterceptor和detectCustomCollations两种方式。 MySQL的用户名支持冒号、斜杠等特殊符号,但是能否使用还需看具体客户端环境。 根据登录用户名返回文件读取利用报文、反序列化利用报文。 **推荐用法:**config.json中预置了一部分配置信息,可以自己修改添加指定用户名对应的读取文件和yso参数,详细看下面的说明 测试环境: jdk1.8.20+mysql-connecto
探秘MySQL Fake Server:一个模拟数据库服务器的强大工具
gitblog_00070的博客
04-09 627
探秘MySQL Fake Server:一个模拟数据库服务器的强大工具 项目地址:https://gitcode.com/fnmsd/MySQL_Fake_Server 项目简介 在软件开发和测试过程中,有时我们无法直接使用真实的生产数据,或是出于隐私保护、性能压力测试等需求,需要一个可以模拟MySQL数据库行为的服务。这就是MySQL Fake Server项目的由来。它是一个轻量级的、高度可配...
MYSQl任意文件读取
KHOST的博客
01-20 1217
实现原理: 攻击者搭建一个伪造的mysql服务器,当有用户去连接上这个伪造的服务器时。 攻击者就可以任意读取受害者的文件内容。 主要是因为LOAD DATA INFILE这个语法 作用是读取一个文件的内容并且放到一个表中。 load datalocalinfile"/home/data.csv"intotableTestTable; 读取客户端文件, 漏洞利用: 漏...
MySQL grant 语法的详细解析
没有艰辛,便无所获
07-13 337
以下的文章是MySQL grant 语法的详细解析,如果你对MySQL grant 语法的相关的实际操作有兴趣的话,你就可以对以下的文章点击观看了。我们大家都知道MySQL数据库赋予用户权限命令的简单格式可概括为: grant 权限 on 数据库对象 to 用户 一、grant 普通数据用户,查询、插入、更新、删除 数据库中所有表数据的权利。 grant select o...
faker生成数据插入mysql
qq_26801055的博客
10-08 464
from faker import Faker import pymysql # 表名 table_name = 'test_panyq8' # 数据条数 table_row = 20 db = pymysql.connect(host='10.202.145.165', port=3306, user='di_test', passwd='Bigdata@123', db='di_test', charset='utf8') cursor = db.cursor() cursor.execute("D.
mysql java 序列化_GitHub - 0xsb/MySQL_Fake_Server: MySQL Fake Server use to help MySQL Client File Read...
weixin_35779309的博客
01-27 943
MySQL Fake Server用于渗透测试过程中的假MySQL服务器,纯原生python3实现,不依赖其它包。用途MySQL服务端读取客户端文件漏洞利用MySQL JDBC客户端Java反序列化漏洞利用说明需要python3环境,无任何其它依赖。根据登录用户名返回文件读取利用报文、反序列化利用报文。需要ysoserial才能用反序列化功能,支持ServerStatusDiffIntercept...
MySQL权限详解
zhangjunli的博客
10-29 4840
MySQL权限级别介绍 MySQL权限级别 全局性的管理权限,作用于整个MySQL实例级别 数据库级别的权限,作用于某个指定的数据库上或者所有的数据库上 数据库对象级别的权限,作用于指定的数据库对象上(表、视图等)或 者所有的数据库对象上 权限存储在mysql库的user, db, tables_priv, columns_priv, and procs_priv这几个系统表中,待MySQL实例启动后就加载到内存中 MySQL权限级别介绍 对比root用户在几个权限系统表中的数据 mysql
mysql
fake_UA的博客
07-22 251
MySQL 进入mysql : win+r 输入cmd打开终端 mysql -uroot -p 输入密码(提示不是内部变量,加bin目录环境变量) 数据库操作 show databases; 查看数据库 create database name; 创建数据库 drop database name; 删除数据库 use name; 使用数据库 select database(); 查看当前所在数据库 表操作 show tables; 查看表 create table name
建立有dba权限的用户
yongzai666的博客
01-15 680
1.用有dba权限的用户登录:sys用户 2.创建一个新用户:create user EXCHANGE identified by EXCHANGE;           create user U_FRONT2GPS identified by FRONT2GPS; 3.授予DBA权限: grant connect,resource,dba to EXCHANGE; grant connect...
MySQL学习笔记:基础与进阶操作
"这篇学习笔记涵盖了MySQL的基础、进阶和运维知识,包括各种SQL语句的使用,如DDL、DML、DQL和DCL,以及数据库和表的操作。" 在MySQL中,数据库管理和操作是核心部分,主要包括数据定义语言(DDL)、数据操作语言...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值