一、 MySQL权限级别介绍

全局——可以管理整个MySQL
库——可以管理指定的数据库
表——可以管理指定数据库的指定表
字段——可以管理指定数据库的指定表的指定字段

权限存储在mysql库的user, db, tables_priv, columns_priv, procs_priv这几个系统表中，待MySQL实例启动后就加载到内存中

二、查看用户权限

1、查看所有用户（用户名、给谁授权）

SELECT user,host FROM mysql.user;

2、查看单个用户所有情况

SELECT * FROM mysql.user WHERE user='root'\G

\g 相当于’;’
\G使每个字段打印到单独的行，也有’;'的作用

加粗样式用户信息：授权对象，连接用户名，用户密码

Host: %		# 授权用户，% 代表所有
User: root	# 用户名
authentication_string: *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9	#密码，MD5加密

授权信息

Select_priv：确定用户是否可以通过SELECT命令选择数据 
Insert_priv：确定用户是否可以通过INSERT命令插入数据 
Update_priv：确定用户是否可以通过UPDATE命令修改现有数据 
Delete_priv：确定用户是否可以通过DELETE命令删除现有数据 
Create_priv：确定用户是否可以创建新的数据库和表 
Drop_priv：确定用户是否可以删除现有数据库和表 
Reload_priv：确定用户是否可以执行刷新和重新加载MySQL所用各种内部缓存的特定命令，包括日志、权限、主机、查询和表 
Shutdown_priv：确定用户是否可以关闭MySQL服务器，将此权限提供给root账户之外的任何用户时，都应当非常谨慎 
Process_priv：确定用户是否可以通过SHOW 
File_priv：确定用户是否可以执行SELECT INTO OUTFILE和LOAD DATA INFILE命令 
Grant_priv：确定用户是否可以将已经授予给该用户自己的权限再授予其他用户，例如，如果用户可以插入、选择和删除foo数据库中的信息，并且授予了GRANT权限，则该用户就可以将其任何或全部权限授予系统中的任何其他用户 
References_priv：目前只是某些未来功能的占位符，现在没有作用 
Index_priv：确定用户是否可以创建和删除表索引 
Alter_priv：确定用户是否可以重命名和修改表结构 
Show_db_priv：确定用户是否可以查看服务器上所有数据库的名字，包括用户拥有足够访问权限的数据库，可以考虑对所有用户禁用这个权限，除非有特别不可抗拒的原因 
Super_priv：确定用户是否可以执行某些强大的管理功能，例如通过KILL命令删除用户进程，使用SET GLOBAL修改全局MySQL变量，执行关于复制和日志的各种命令 
Create_tmp_table_priv：确定用户是否可以创建临时表 
Lock_tables_priv：确定用户是否可以使用LOCK 
Execute_priv：确定用户是否可以执行存储过程，此权限只在MySQL 5.0及更高版本中有意义 
Repl_slave_priv：确定用户是否可以读取用于维护复制数据库环境的二进制日志文件，此用户位于主系统中，有利于主机和客户机之间的通信 
Repl_client_priv：确定用户是否可以确定复制从服务器和主服务器的位置 
Create_view_priv：确定用户是否可以创建视图，此权限只在MySQL 5.0及更高版本中有意义 
Show_view_priv：确定用户是否可以查看视图或了解视图如何执行，此权限只在MySQL 5.0及更高版本中有意义 Create_routine_priv：确定用户是否可以更改或放弃存储过程和函数，此权限是在MySQL 5.0中引入的 Alter_routine_priv：确定用户是否可以修改或删除存储函数及函数，此权限是在MySQL 5.0中引入的 Create_user_priv：确定用户是否可以执行CREATE 
Event_priv：确定用户能否创建、修改和删除事件，这个权限是MySQL 5.1.6新增的 
Trigger_priv：确定用户能否创建和删除触发器，这个权限是MySQL 5.1.6新增的
Create_tablespace_priv: 创建表的空间

权限表

三、授权

每次更新权限后记得刷新权限

FLUSH PRIVILEGES;

格式：

GRANT
  [权限] 
ON [库.表] 
TO [用户名]@[IP] 
IDENTIFIED BY [密码] 
# WITH GRANT OPTION;

GRANT命令说明：
(1)ALL PRIVILEGES 表示所有权限，你也可以使用select、update等权限。
(2)ON 用来指定权限针对哪些库和表。
(3)*.* 中前面的号用来指定数据库名，后面的号用来指定表名。
(4)TO 表示将权限赋予某个用户。
(5)@ 前面表示用户，@后面接限制的主机，可以是IP、IP段、域名以及%，%表示任何地方。
(6)IDENTIFIED BY 指定用户的登录密码。
(7)WITH GRANT OPTION 这个选项表示该用户可以将自己拥有的权限授权给别人。

注意：经常有人在创建操作用户的时候不指定WITH GRANT OPTION选项导致后来该用户不能使用GRANT命令创建用户或者给其它用户授权。
备注：可以使用GRANT重复给用户添加权限，权限叠加，比如你先给用户添加一个select权限，然后又给用户添加一个insert权限，那么该用户就同时拥有了select和insert权限。

1、全局授权（直接把 root 限制主机改为 %，任意主机）
因为 root 是数据库用户默认最高权限

UPDATE mysql.user SET user.Host='%' where user.User='root';
FLUSH PRIVILEGES;

当然也可以新建一个用户，给与全部权限

GRANT
  ALL PRIVILEGES
ON *.*
TO admin@'175.155.59.133'
IDENTIFIED BY 'admin';

这样你就可以在远程连接到该数据库，且获取全部权限。

2、单个数据库授权

只给175.155.59.133这个 IP 赋给 ctrip 数据库 查询的权限，用户：ctrip，密码：ctrip

GRANT
  select
ON ctrip.*
TO ctrip@'175.155.59.133'
IDENTIFIED BY 'ctrip';

声明：
（1）用ipconfig查询出来的IP，那是局域网的，这么设置只能局域网内使用，
（2）要想服务器和本机连接，IP 必须是网关的IP，推荐使用 https://www.ipip.net/ 查询自己的 IP。

可以看到本机连接有 ctrip 数据库和一个数据库本身库，而看不到其他库。注意此时可以看到两个表。

3、单个数据库单个表授权

GRANT
  select
ON ctrip.t_plane
TO ctrip@'175.155.59.133'
IDENTIFIED BY 'ctrip';

可以看到只有一个表显示出来，注意现在字段

4、单个数据库单个表授权某些字段授权

GRANT
  select(id,EN)
ON ctrip.t_plane
TO ctrip@'175.155.59.133'
IDENTIFIED BY 'ctrip';

四、收回权限、删除用户

1、收回权限

格式：

REVOKE
  [权限] 
ON [库.表] 
FROM [用户名]@[IP];

操作：

REVOKE
  select(id,EN)
ON ctrip.t_plane
FROM ctrip@'175.155.59.133';

2、删除用户
格式：

DROP USER [用户名]@[IP];

操作：

DROP USER ctrip@'175.155.59.133';

MySQL清空数据库的操作：truncate table tablename;

MySQL 赋予用户权限命令的简单格式可概括为：grant 权限 on 数据库对象 to 用户

一、grant 普通数据用户，查询、插入、更新、删除 数据库中所有表数据的权利。

 grant select on testdb.* to common_user@'%' grant insert on testdb.* to common_user@'%' grant update on testdb.* to common_user@'%' grant delete on testdb.* to common_user@'%'

或者，用一条 MySQL 命令来替代：

 grant select, insert, update, delete on testdb.* to common_user@'%'

二、grant 数据库开发人员，创建表、索引、视图、存储过程、函数。。。等权限。

grant 创建、修改、删除 MySQL 数据表结构权限

 grant create on testdb.* to developer@'192.168.0.%' ;

 grant alter on testdb.* to developer@'192.168.0.%' ;

 grant drop on testdb.* to developer@'192.168.0.%' ;

grant 操作 MySQL 外键权限

grant references on testdb.* to developer@'192.168.0.%' ;

grant 操作 MySQL 临时表权限

grant create temporary tables on testdb.* to developer@'192.168.0.%' ;

grant 操作 MySQL 索引权限

grant index on testdb.* to developer@'192.168.0.%' ;

grant 操作 MySQL 视图、查看视图源代码权限

grant create view on testdb.* to developer@'192.168.0.%' ;

grant show view on testdb.* to developer@'192.168.0.%' ;

grant 操作 MySQL 存储过程、函数权限

 grant create routine on testdb.* to developer@'192.168.0.%' ; -- now, can show procedure status

 grant alter routine on testdb.* to developer@'192.168.0.%' ; -- now, you can drop a procedure

 grant execute on testdb.* to developer@'192.168.0.%' ;

三、grant 普通 DBA 管理某个 MySQL 数据库的权限

grant all privileges on testdb to dba@'localhost' 其中，关键字 “privileges” 可以省略。

四、grant 高级 DBA 管理 MySQL 中所有数据库的权限

grant all on *.* to dba@'localhost'

五、MySQL grant 权限，分别可以作用在多个层次上

1. grant 作用在整个 MySQL 服务器上：

grant select on *.* to dba@localhost ; -- dba 可以查询 MySQL 中所有数据库中的表。

grant all on *.* to dba@localhost ; -- dba 可以管理 MySQL 中的所有数据库

2. grant 作用在单个数据库上：

grant select on testdb.* to dba@localhost ; -- dba 可以查询 testdb 中的表。

3. grant 作用在单个数据表上：

grant select, insert, update, delete on testdb.orders to dba@localhost ;

4. grant 作用在表中的列上：

grant select(id, se, rank) on testdb.apache_log to dba@localhost ;

5. grant 作用在存储过程、函数上：

grant execute on procedure testdb.pr_add to 'dba'@'localhost'

grant execute on function testdb.fn_add to 'dba'@'localhost'

六、查看 MySQL 用户权限 查看当前用户(自己)权限： show grants;

查看其他 MySQL 用户权限： show grants for dba@localhost;

七、撤销已经赋予给 MySQL 用户权限的权限

revoke 跟 grant 的语法差不多，只需要把关键字 “to” 换成 “from” 即可：

grant all on *.* to dba@localhost;

revoke all on *.* from dba@localhost;

八、MySQL grant、revoke 用户权限注意事项

1. grant, revoke 用户权限后，该用户只有重新连接 MySQL 数据库，权限才能生效。

2. 如果想让授权的用户，也可以将这些权限 grant 给其他用户，需要选项 “grant option“

grant select on testdb.* to dba@localhost with grant option; 

这个特性一般用不到。实际中，数据库权限最好由 DBA 来统一管理。

一、用户权限（使用Navicat创建用户和分配权限）

1、权限结构：全局/数据库/表/列权限

2、主要权限（全部权限-ALL）：

权限	权限级别	权限说明
CREATE	数据库、表、索引	创建数据库、表、索引
CREATE VIEW	视图	创建视图
DROP	数据库、表	删除创建数据库、表
UPDATE	表	更新表
INSERT	表	插入数据于表
DELETE	表	删除表数据
ALTER	表	更改表，比如，添加字段、索引
SELECT	表	查询
INDEX	表	索引
EXECUTE	存储过程	执行存储过程

3、权限分布：

二、使用Navicat客户端工具创建用户和分配权限：

(1) 全局权限：

(2) 数据库权限：

(3) 表权限：

(4)列权限：

三、mysql分配权限相关命令（授权grant、查看权利show grants、撤销权利revok、删除用户drop user）：

1、赋予权限命令 grant：

■ 语法：

grant 权限
on 数据库对象
to 用户 identified by ‘密码’
with grant option;

(1) 当已经存在用户（例如shan）时，赋予查询权限在数据库mysqldemo中的表t_stu(数据库对象)到用户shan

语法：grant select on mysqldemo.t_stu to shan@localhost;

grant 权限
on 数据库对象
to 用户;

(2) 当用户不存在时（例:创建用户shan，密码是1），赋予查询权限在数据库mysqldemo中的表t_stu(数据库对象) 到用户shan

语法: grant select on mysqldemo.t_stu to shan@localhost identified by ‘1’;

grant 权限
on 数据库对象
to 用户 identified by ‘密码’;

(3) 当用户不存在时, 将授权GRANT OPTION 的权利也赋给当前用户（例:创建用户shan，密码是1），赋予查询权限在数据库mysqldemo中的表t_stu(数据库对象) 到用户shan

语法: grant select on mysqldemo.t_stu to shan@localhost identified by ‘1’ with grant option;

grant 权限
on 数据库对象
to 用户 identified by ‘密码’
with grant option;

✿ 分配权限的细节：

■ shan@localhost：shan用户，是只能在本地主机访问。

□ 用户账号：user@host，其中host的值，% 从任意地址访问， 10.250.8.% 只能访问特定的网段， 192.168.1.8 只能访问特定的ip。

localhost: 本机地址。

□ 查看电脑ip命令：ipconfig

2、查看用户的权限命令 show grants：

(1) 查看当前用户权限： show grants;

(2) 查看某个用户权限： show grants for 用户账号；

​ 例如：在cmd控制台，以root 用户进入mysql，然后查看lucy的权限： show grants for lucy@localhost;

3、回收权限命令 revoke：

■ 语法：

revoke 权限
on 数据库对象
from 用户；

例如：revoke select on . from lucy@localhost;

□ 注意：使用revoke 回收所有权限，则操作者必须是拥有mysql数据的全局create user或 update 权限。

4、删除用户账号权限 drop user：

■ 语法：drop user 用户账号；

例如：drop user lucy@localhost;

若主机是%，语法记得加上 ‘’ 例如：drop user lucy@’%’;