下面就討論一些例子。

1.1 誰能連接，從那兒連接？

你可以允許一個用戶從特定的或一系列主機連接。有一個極端，如果你知道降職從一個主機連接，你可以將權限局限于單個主機

：GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"GRANT ALL ON samp_db.* TO fred@res.mars.com IDENTIFIED BY "quartz"

(samp_db.*意思是“samp_db數據庫的所有表)

另一個極端是，你可能有一個經常旅行并需要能從世界各地的主機連接的用戶max。在這種情況下，你可以允許他無論從哪里連接：

GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond"

“%”字符起通配符作用，與LIKE模式匹配的含義相同。在上述語句中，它意味著“任何主機”。所以max和max@%等價。這是建立用戶最簡單的方法，但也是最不安全的。

取其中，你可以允許一個用戶從一個受限的主機集合訪問。例如，要允許mary從snake.net域的任何主機連接，用一個%.snake.net主機指定符：

GRANT ALL ON samp_db.* TO mary@.snake.net IDENTIFIED BY "quartz";

如果你喜歡，用戶標識符的主機部分可以用IP地址而不是一個主機名來給定。你可以指定一個IP地址或一個包含模式字符的地址，而且，從MySQL 3.23，你還可以指定具有指出用于網絡號的位數的網絡掩碼的IP號：

GRANT ALL ON samp_db.* TO boris@192.168.128.3 IDENTIFIED BY "ruby" GRANT ALL ON samp_db.* TO fred@192.168.128.% IDENTIFIED BY "quartz" GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIED BY "ruby"

第一個例子指出用戶能從其連接的特定主機，第二個指定對于C類子網192.168.128的IP模式，而第三條語句中，192.168.128.0/17指定一個17位網絡號并匹配具有192.168.128頭17位的IP地址。　

如果MySQL抱怨你指定的用戶值，你可能需要使用引號（只將用戶名和主機名部分分開加引號）。

GRANT ALL ON samp_db.president TO "my friend"@"boa.snake.net"
1.2 用戶應該有什么級別的權限和它們應該適用于什么？

你可以授權不同級別的權限，全局權限是最強大的，因為它們適用于任何數據庫。要使ethel成為可做任何事情的超級用戶，包括能授權給其它用戶，發(fā)出下列語句：

GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION

ON子句中的*.*意味著“所有數據庫、所有表”。從安全考慮，我們指定ethel只能從本地連接。限制一個超級用戶可以連接的主機通常是明智的，因為它限制了試圖破解口令的主機。

有些權限（FILE、PROCESS、RELOAD和SHUTDOWN）是管理權限并且只能用"ON *.*"全局權限指定符授權。如果你愿意，你可以授權這些權限，而不授權數據庫權限。例如，下列語句設置一個flush用戶，他只能發(fā)出flush語句。這可能在你需要執(zhí)行諸如清空日志等的管理腳本中會有用：

GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass"

一般地，你想授權管理權限，吝嗇點，因為擁有它們的用戶可以影響你的服務器的操作。
數據庫級權限適用于一個特定數據庫中的所有表，它們可通過使用ON db_name.*子句授予：

GRANT ALL ON samp_db TO bill@racer.snake.net INDETIFIED BY "rock" GRANT SELECT ON samp_db TO ro_user@% INDETIFIED BY "rock"

第一條語句向bill授權samp_db數據庫中所有表的權限，第二條創(chuàng)建一個嚴格限制訪問的用戶ro_user（只讀用戶），只能訪問samp_db數據庫中的所有表，但只有讀取，即用戶只能發(fā)出SELECT語句。

你可以列出一系列同時授予的各個權限。例如，如果你想讓用戶能讀取并能修改現有數據庫的內容，但不能創(chuàng)建新表或刪除表，如下授予這些權限：

GRANT SELECT,INSERT,DELETE,UPDATE ON samp_db TO bill@snake.net INDETIFIED BY "rock"

對于更精致的訪問控制，你可以在各個表上授權，或甚至在表的每個列上。當你想向用戶隱藏一個表的部分時，或你想讓一個用戶只能修改特定的列時，列特定權限非常有用。如：

GRANT SELECT ON samp_db.member TO bill@localhost INDETIFIED BY "rock"GRANT UPDATE (expiration) ON samp_db. member TO bill@localhost

第一條語句授予對整個member表的讀權限并設置了一個口令，第二條語句增加了UPDATE權限，當只對expiration列。沒必要再指定口令，因為第一條語句已經指定了。

如果你想對多個列授予權限，指定一個用逗號分開的列表。例如，對assistant用戶增加member表的地址字段的UPDATE權限，使用如下語句，新權限將加到用戶已有的權限中：

GRANT UPDATE (street,city,state,zip) ON samp_db TO assistant@localhost

通常，你不想授予任何比用戶確實需要的權限寬的權限。然而，當你想讓用戶能創(chuàng)建一個臨時表以保存中間結果，但你又不想讓他們在一個包含他們不應修改內容的數據庫中這樣做時，發(fā)生了要授予在一個數據庫上的相對寬松的權限。你可以通過建立一個分開的數據庫（如tmp）并授予開數據庫上的所有權限來進行。例如，如果你想讓來自mars.net域中主機的任何用戶使用tmp數據庫，你可以發(fā)出這樣的GRANT語句：

GRANT ALL ON tmp.* TO ""@mars.net

在你做完之后，用戶可以創(chuàng)建并用tmp.tbl_name形式引用tmp中的表（在用戶指定符中的""創(chuàng)建一個匿名用戶，任何用戶均匹配空白用戶名）。
1.3 用戶應該被允許管理權限嗎？

你可以允許一個數據庫的擁有者通過授予數據庫上的所有擁有者權限來控制數據庫的訪問，在授權時，指定WITH GRANT OPTION。例如：如果你想讓alicia能從big.corp.com域的任何主機連接并具有sales數據庫中所有表的管理員權限，你可以用如下GRANT語句：

GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION

在效果上WITH GRANT OPTION子句允許你把訪問授權的權利授予另一個用戶。要注意，擁有GRANT權限的兩個用戶可以彼此授權。如果你只給予了第一個用戶SELECT權限，而另一個用戶有GRANT加上SELECT權限，那么第二個用戶可以是第一個用戶更“強大”。

2 撤權并刪除用戶

要取消一個用戶的權限，使用REVOKE語句。REVOKE的語法非常類似于GRANT語句，除了TO用FROM取代并且沒有INDETIFED BY和WITH GRANT OPTION子句：

REVOKE privileges (columns) ON what FROM user

user部分必須匹配原來GRANT語句的你想撤權的用戶的user部分。privileges部分不需匹配，你可以用GRANT語句授權，然后用REVOKE語句只撤銷部分權限。

REVOKE語句只刪除權限，而不刪除用戶。即使你撤銷了所有權限，在user表中的用戶記錄依然保留，這意味著用戶仍然可以連接服務器。要完全刪除一個用戶，你必須用一條DELETE語句明確從user表中刪除用戶記錄：

%mysql -u root mysqlmysql>DELETE FROM user ->WHERE User="user_name" and Host="host_name";mysql>FLUSH PRIVILEGES;　

DELETE語句刪除用戶記錄，而FLUSH語句告訴服務器重載授權表。（當你使用GRANT和REVOKE語句時，表自動重載，而你直接修改授權表時不是。）