mysql 权限粒度,找乐子:从一次Revoke看MySQL权限的三种粒度

最新推荐文章于 2023-04-11 10:34:58 发布
最新推荐文章于 2023-04-11 10:34:58 发布
阅读量216 收藏
点赞数
文章标签: mysql 权限粒度

先看场景

12:34:36 HowUger@HowUger_MySQL_t01:mysql>

12:34:39 HowUger@HowUger_MySQL_t01:mysql> SHOW GRANTS FOR 'HowUger'@'localhost';

+----------------------------------------------------------------------+

| Grants for HowUger@localhost |

+----------------------------------------------------------------------+

| GRANT SELECT, INSERT, UPDATE, DELETE ON *.* TO 'HowUger'@'localhost' |

+----------------------------------------------------------------------+

1 row in set

Time: 0.029s

12:34:41 HowUger@HowUger_MySQL_t01:mysql>

12:34:52 HowUger@HowUger_MySQL_t01:mysql>

12:35:25 HowUger@HowUger_MySQL_t01:mysql> REVOKE SELECT, UPDATE, INSERT, DELETE ON test_1220.* FROM 'HowUger'@'localhost';

(1141, u"There is no such grant defined for user 'HowUger' on host 'localhost'")

12:35:26 HowUger@HowUger_MySQL_t01:mysql>

12:36:10 HowUger@HowUger_MySQL_t01:mysql> REVOKE SELECT, UPDATE, INSERT, DELETE ON test_1220.t_test01 FROM 'HowUger'@'localhost';

(1147, u"There is no such grant defined for user 'HowUger' on host 'localhost' on table 't_test01'")

12:36:11 HowUger@HowUger_MySQL_t01:mysql>

简述以上的过程:

已知用户'HowUger'@'localhost'在mysql中拥有全局权限

尝试回收用户'HowUger'@'localhost'在单库test_1220的权限失败

尝试回收用户'HowUger'@'localhost'在单表test_1220.t_test01的权限失败

开始找乐子

通过查看错误信息,确定Revoke单库权限操作错误发生在函数replace_db_table调用过程中,具体调用栈如下:

0 replace_db_table () at /home/HowUger/mysql-5.6.45/sql/sql_acl.cc:2662

1 0x00000000005ebf44 in mysql_grant () at /home/HowUger/mysql-5.6.45/sql/sql_acl.cc:4230

2 0x00000000006ac74e in mysql_execute_command () at /home/HowUger/mysql-5.6.45/sql/sql_parse.cc:4255

3 0x00000000006b630c in mysql_parse () at /home/HowUger/mysql-5.6.45/sql/sql_parse.cc:6591

4 0x000000000069ed9a in dispatch_command () at /home/HowUger/mysql-5.6.45/sql/sql_parse.cc:1214

5 0x000000000069d072 in do_command () at /home/HowUger/mysql-5.6.45/sql/sql_parse.cc:837

6 0x000000000081d9c1 in do_handle_one_connection () at /home/HowUger/mysql-5.6.45/sql/sql_connect.cc:1426

7 0x000000000081d19b in handle_one_connection () at /home/HowUger/mysql-5.6.45/sql/sql_connect.cc:1332

8 0x00007fd0c16fa851 in start_thread () from /lib64/libpthread.so.0

9 0x0000003330ce767d in clone () from /lib64/libc.so.6

MySQL源码中该函数代码段如下(报错逻辑在最后):

static int replace_db_table(TABLE *table, const char *db,

const LEX_USER &combo,

ulong rights, bool revoke_grant)

{

uint i;

ulong priv,store_rights;

bool old_row_exists=0;

int error;

char what= (revoke_grant) ? 'N' : 'Y';

uchar user_key[MAX_KEY_LENGTH];

Acl_table_intact table_intact;

DBUG_ENTER("replace_db_table");

if (!initialized)

{

my_error(ER_OPTION_PREVENTS_STATEMENT, MYF(0), "--skip-grant-tables");

DBUG_RETURN(-1);

}

if (table_intact.check(table, &mysql_db_table_def))

DBUG_RETURN(-1);

/* Check if there is such a user in user table in memory? */

if (!find_acl_user(combo.host.str,combo.user.str, FALSE))

{

my_message(ER_PASSWORD_NO_MATCH, ER(ER_PASSWORD_NO_MATCH), MYF(0));

DBUG_RETURN(-1);

}

table->use_all_columns();

table->field[0]->store(combo.host.str,combo.host.length,

system_charset_info);

table->field[1]->store(db,(uint) strlen(db), system_charset_info);

table->field[2]->store(combo.user.str,combo.user.length,

system_charset_info);

key_copy(user_key, table->record[0], table->key_info,

table->key_info->key_length);

if (table->file->ha_index_read_idx_map(table->record[0],0, user_key,

HA_WHOLE_KEY,

HA_READ_KEY_EXACT))

{

if (what == 'N')

{ // no row, no revoke

my_error(ER_NONEXISTING_GRANT, MYF(0), combo.user.str, combo.host.str);

goto abort;

}

...

那么常规GRANT全局权限时,调用栈又是怎样的呢?

0 replace_user_table () at /home/HowUger/mysql-5.6.45/sql/sql_acl.cc:2361

1 0x00000000005ebf44 in mysql_grant () at /home/HowUger/mysql-5.6.45/sql/sql_acl.cc:4220

2 0x00000000006ac74e in mysql_execute_command () at /home/HowUger/mysql-5.6.45/sql/sql_parse.cc:4255

3 0x00000000006b630c in mysql_parse () at /home/HowUger/mysql-5.6.45/sql/sql_parse.cc:6591

4 0x000000000069ed9a in dispatch_command () at /home/HowUger/mysql-5.6.45/sql/sql_parse.cc:1214

5 0x000000000069d072 in do_command () at /home/HowUger/mysql-5.6.45/sql/sql_parse.cc:837

6 0x000000000081d9c1 in do_handle_one_connection () at /home/HowUger/mysql-5.6.45/sql/sql_connect.cc:1426

7 0x000000000081d19b in handle_one_connection () at /home/HowUger/mysql-5.6.45/sql/sql_connect.cc:1332

8 0x00007fd0c16fa851 in start_thread () from /lib64/libpthread.so.0

9 0x0000003330ce767d in clone () from /lib64/libc.so.6

这样一来情况就非常清晰了:

GRANT全局权限时,调用函数replace_user_table,修改mysql.user表

REVOKE单库权限时,调用函数replace_db_table,修改mysql.db表

而上面没有查看调用栈的REVOKE单表权限时,调用的函数是replace_table_table(命名鬼才呀),修改mysql.tables_priv表

说了半天也就是下面这三张表

12:36:17 HowUger@HowUger_MySQL_t01:mysql>

12:36:30 HowUger@HowUger_MySQL_t01:mysql> SHOW TABLES WHERE TABLES_IN_MYSQL IN ('user', 'db', 'tables_priv');

+-----------------+

| Tables_in_mysql |

+-----------------+

| db |

| tables_priv |

| user |

+-----------------+

3 rows in set

Time: 0.016s

12:36:32 HowUger@HowUger_MySQL_t01:mysql>

So,到这里正好对应了MySQL在权限设计中的三种粒度:全局权限, db权限,table权限(当然存储过程和Proxy也有对应的权限)

简单总个结

三种粒度:全局(即用户级),库级和表级

三种粒度对应三张表:mysql.user,mysql.db和tables_priv

三种粒度相互独立,互不影响

三种粒度之间没有关联实现

管挖不管埋

多种粒度权限叠加场景中,权限的适用情况和具体调用又会是怎样的呢?

钢盅郭子
关注
MySQL存储过程的权限问题小结
09-09
总结来说,理解MySQL存储过程的权限管理,包括`DEFINER`与`INVOKER`的区别、如何查看和授予`SELECT ON mysql.proc`权限,以及如何进行细粒度权限控制,对于确保数据库系统的安全和稳定至关重要。在分配权限时,始终...
“撩”一下mysql权限的一个细枝但不末节
weixin_42851042的博客
06-30 543
业务需求:要对一个用户收回一个表的所有权限,但是之前对这个用户是授权表所在库的整个授权。 比如:存在库 test01 库下存在表T1 首先整库授权: grant all privilges on test01.* to test0629; > show grants for test0629; +-----------------------------------------------------+ | Grants for test0629@% ...
MySQL报错详解及总结
最新发布
weixin_45386953的博客
04-11 1736
原文地址:https://www.js1331.com/jiaocheng?id=284310报错原因:密码错误解决方式:检查自己的账号密码是否输入正确2003 - Can’t connect to MySQL server on ‘128.0.0.1’ (10038) 由于目标计算机积极拒绝,无法连接。报错原因:1:数据库地址填写错误。2:数据库端口填写错误。3:数据库或者所在服务器的防火墙或者白名单未开通。4:数据库账号ip访问限制。
MySQL错误码解释
olive
12-18 1587
错误:1000 SQLSTATE: HY000 (ER_HASHCHK) 消息:hashchk 错误:1001 SQLSTATE: HY000 (ER_NISAMCHK) 消息:isamchk 错误:1002 SQLSTATE: HY000 (ER_NO) 消息:NO 错误:1003 SQLSTATE: HY000 (ER_YES) 消息:YES 错误:1004 SQLSTATE: HY000 (...
MySQL必知必会》| 查看用户权限报错:ERROR 1141 (42000): There is no such grant defined for user 'user' on host '%'
热门推荐
BaoYi的博客
10-19 1万+
ERROR 1141 (42000): There is no such grant defined for user 'user' on host '%'
代码执行时出现错误[42000][1141] There is no such grant defined for user ‘heima‘ on host ‘localhost’
csdnaking的博客
02-14 783
[42000][1141] There is no such grant defined for user 'heima' on host 'localhost'
MySQL用户与权限的管理详解
09-09
角色允许创建一组权限一次性分配给多个用户,而默认权限可以在创建新用户时自动赋予。此外,`GRANT OPTION`权限可以让用户将他们自己的权限授予其他用户。 在实际应用中,合理配置用户权限至关重要,既能保护数据...
Mysqlmysql.user用户表详解
12-16
MySQL中的`mysql.user`表是管理系统用户权限的核心组件,它定义了用户可以从哪些主机登录以及他们拥有的操作权限MySQL作为一个多用户系统,通过权限控制确保数据的安全性,避免未授权的访问。在这个表中,我们可以...
MySQL数据库:项目维护学生信息管理数据库的安全性.pptx
05-30
MySQL权限系统是其核心安全组件,它通过一组权限表来控制用户对数据库的访问。主要的权限表有五个:`user`、`db`、`tables_priv`、`columns_priv`和`procs_priv`。`user`表存储了允许连接到服务器的用户信息,包括...
Mysql账户管理原理与实现方法详解
12-15
4. **字段级别权限**:允许用户仅对数据库表的特定字段进行操作,提供更细粒度权限控制。 5. **存储程序级别账号**:此类账号可以对存储过程进行增删改查,但不能直接影响数据表。 账户管理的基本操作包括: - ...
MySQL代码错误号大全
SQLplus111的博客
11-14 6108
MySQL代码错误号大全
mysql错误1273_mysql8 参考手册--错误代码1273-1294
weixin_42133452的博客
01-28 582
错误号1273; 符号: ER_UNKNOWN_COLLATION; SQLSTATE: HY000消息:未知归类:'%s'错误号1274; 符号: ER_SLAVE_IGNORED_SSL_PARAMS; SQLSTATE:HY000消息:CHANGE MASTER中的SSL参数将被忽略,因为该MySQL从站是在没有SSL支持的情况下编译的;如果启动具有SSL的MySQL从服务器,则可以在以后使...
MySQL权限管理
他叫阿来
02-19 891
mysql创建账号 mysql赋予、更改账号权限 mysql修改用户密码 mysql删除用户
MYSQL ERROR CODE
weixin_34235105的博客
03-29 666
mysql error code(备忘) 转1005:创建表失败 1006:创建数据库失败 1007:数据库已存在,创建数据库失败 1008:数据库不存在,删除数据库失败 1009:不能删除数据库文件导致删除数据库失败 1010:不能删除数据目录导致删除数据库失败 1011:删除数据库文件失败 1012:不能读取系统表中的记录 1020:记录已被其他用户修改...
mysql粒度_MySQL权限粒度和时效性
weixin_39900468的博客
01-19 317
关注我,获得更多分享,也欢迎你把文章分享给更多朋友。背景MySQL中对权限的控制力度是怎样的?能够控制某个用户只能访问某一个或某几个数据库吗?能够控制某个用户只能访问某一些字母开头的数据库吗?能够控制某个用户只能访问某个库下面某个表的某些字段吗?这些授权的时效性是如何的?对于已经存在的数据库连接,这些授权能马上生效吗?接下来带你到这些问题的答案。授权的通配符如果需要让某个用户可以访问MySQL中...
关于 ERROR 1141 (42000): There is no such grant defined for user ‘xxx‘ on host ‘yyy‘ 的一种原因
m0_47505062的博客
01-28 1万+
今天做了一个实验, mysql> select * from tables_priv; ±----------±---------±------±-----------±---------------±--------------------±-----------±------------+ | Host | Db | User | Table_name | Grantor | Timestamp | Table_priv | Column_
MySQL · 源码分析 · 无法revoke单库或单表权限
weixin_33696106的博客
03-08 414
现象 对于拥有全局权限的用户,无法revoke单库或单表的权限,示例如下 mysql> grant select on *.* to 'xx1'@'localhost'; Query OK, 0 rows affected (0.00 sec) mysql> revoke select * test.* from 'xx1'@'local...
Mysql撤销用户权限报错 | [Err] 1141 - There is no such grant defined for user 'dbadmin' on host '%'
qq_43690482的博客
04-27 9180
在学习Mysql用户权限赋予与撤销的时候遇到了一个问题如下: 用的Navicat赋予了一个普通用户超级权限 查看权限下图 进行撤销权限时报错 网上搜索了一下,大概意识是: 在你赋予用户权限后想到撤销权限时,你赋予什么权限,就收回什么权限,当然你收回的时候可以放大,但是不能缩小。。 比如你赋予了database. 那么你收回的时候可以写all,* 修改如下成功。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值