MySQL管理員應(yīng)該知道如何設(shè)置MySQL用戶賬號，指出哪個用戶可以連接服務(wù)器，從哪里連接，連接后能做什么。MySQL 3.22.11開始引入兩條語句使得這項工作更容易做：GRANT語句創(chuàng)建MySQL用戶并指定其權(quán)限，而REVOKE語句刪除權(quán)限。兩條語句扮演了mysql數(shù)據(jù)庫的前端角色，并提供與直接操作這些表的內(nèi)容不同的另一種方法。CREATE和REVOKE語句影響4個表：授權(quán)表

內(nèi)容

user 能連接服務(wù)器的用戶以及他們擁有的任何全局權(quán)限
db 數(shù)據(jù)庫級權(quán)限
tables_priv 表級權(quán)限
columns_priv 列級權(quán)限

　　還有第5個授權(quán)表（host），但它不受GRANT和REVOKE的影響。

　　當(dāng)你對一個用戶發(fā)出一條GRANT語句時，在user表中為該用戶創(chuàng)建一條記錄。如果語句指定任何全局權(quán)限（管理權(quán)限或適用于所有數(shù)據(jù)庫的權(quán)限），這些也記錄在user表中。如果你指定數(shù)據(jù)庫、表和列級權(quán)限，他們被分別記錄在db、tables_priv和columns_priv表中。

　　用GRANT和REVOKE比直接修改授權(quán)表更容易些，然而，建議你閱讀一下《MySQL安全性指南》。這些表異常重要，而且作為一名管理員，你應(yīng)該理解它們?nèi)绾纬紾RANT和REVOKE語句的功能水平。

　　在下面的章節(jié)中，我們將介紹如何設(shè)置MySQL用戶賬號并授權(quán)。我們也涉及如何撤權(quán)和從授權(quán)表中刪除用戶。

你可能也想考慮使用mysqlaccess和mysql_setpermission腳本，它是MySQL分發(fā)的一部分，它們是Perl腳本，提供GRANT語句的另一種選擇設(shè)置用戶賬號。mysql_setpermission需要安裝DBI支持。
1 創(chuàng)建用戶并授權(quán)

　　GRANT語句的語法看上去像這樣：GRANT privileges (columns) ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION　
要使用該語句，你需要填寫下列部分：

privileges

授予用戶的權(quán)限，下表列出可用于GRANT語句的權(quán)限指定符：

權(quán)限指定符 權(quán)限允許的操作
ALTER      修改表和索引
CREATE     創(chuàng)建數(shù)據(jù)庫和表
DELETE     刪除表中已有的記錄
DROP       拋棄（刪除）數(shù)據(jù)庫和表
INDEX      創(chuàng)建或拋棄索引
INSERT     向表中插入新行
REFERENCE  未用
SELECT     檢索表中的記錄
UPDATE     修改現(xiàn)存表記錄
FILE       讀或?qū)懛?wù)器上的文件
PROCESS    查看服務(wù)器中執(zhí)行的線程信息或殺死線程
RELOAD     重載授權(quán)表或清空日志、主機緩存或表緩存。
SHUTDOWN   關(guān)閉服務(wù)器
ALL        所有；ALL PRIVILEGES同義詞
USAGE      特殊的“無權(quán)限”權(quán)限


　　上表顯示在第一組的權(quán)限指定符適用于數(shù)據(jù)庫、表和列，第二組數(shù)管理權(quán)限。一般，這些被相對嚴(yán)格地授權(quán)，因為它們允許用戶影響服務(wù)器的操作。第三組權(quán)限特殊，ALL意味著“所有權(quán)限”，UASGE意味著無權(quán)限，即創(chuàng)建用戶，但不授予權(quán)限。
columns

　　權(quán)限運用的列，它是可選的，并且你只能設(shè)置列特定的權(quán)限。如果命令有多于一個列，應(yīng)該用逗號分開它們。

what

　　權(quán)限運用的級別。權(quán)限可以是全局的（適用于所有數(shù)據(jù)庫和所有表）、特定數(shù)據(jù)庫（適用于一個數(shù)據(jù)庫中的所有表）或特定表的?？梢酝ㄟ^指定一個columns字句是權(quán)限是列特定的。

user

　　權(quán)限授予的用戶，它由一個用戶名和主機名組成。在MySQL中，你不僅指定誰能連接，還有從哪里連接。這允許你讓兩個同名用戶從不同地方連接。MySQL讓你區(qū)分他們，并彼此獨立地賦予權(quán)限。

　　MySQL中的一個用戶名就是你連接服務(wù)器時指定的用戶名，該名字不必與你的Unix登錄名或Windows名聯(lián)系起來。缺省地，如果你不明確指定一個名字，客戶程序?qū)⑹褂媚愕牡卿浢鳛镸ySQL用戶名。這只是一個約定。你可以在授權(quán)表中將該名字改為nobody，然后以nobody連接執(zhí)行需要超級用戶權(quán)限的操作。

password

　　賦予用戶的口令，它是可選的。如果你對新用戶沒有指定IDENTIFIED BY子句，該用戶不賦給口令（不安全）。對現(xiàn)有用戶，任何你指定的口令將代替老口令。如果你不指定口令，老口令保持不變，當(dāng)你用IDENTIFIED BY時，口令字符串用改用口令的字面含義，GRANT將為你編碼口令，不要象你用SET PASSWORD 那樣使用password()函數(shù)。

　　WITH GRANT OPTION子句是可選的。如果你包含它，用戶可以授予權(quán)限通過GRANT語句授權(quán)給其它用戶。你可以用該子句給與其它用戶授權(quán)的能力。

　　用戶名、口令、數(shù)據(jù)庫和表名在授權(quán)表記錄中是大小寫敏感的，主機名和列名不是。
　　一般地，你可以通過詢問幾個簡單的問題來識別GRANT語句的種類：

　　誰能連接，從那兒連接？
　　用戶應(yīng)該有什么級別的權(quán)限，他們適用于什么？
　　用戶應(yīng)該允許管理權(quán)限嗎？