MySQL 的权限就是一个摆设？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3195 天前的主题，其中的信息可能已经有所发展或是发生改变。

-- 创建用户
CREATE USER 'shutdown'@'localhost' IDENTIFIED BY 'shutdown';
-- 只赋予 shutdown 权限
GRANT SHUTDOWN ON *.*  TO 'shutdown'@'localhost';
-- 刷新权限
FLUSH PRIVILEGES;

用 shutdown 连接上数据库成功的删除掉了test数据库

shutdown'

shutdown

权限

数据库

11 条回复 • 2016-02-26 14:25:58 +08:00

julyclyde

2016-02-25 13:29:05 +08:00

1 显然不是摆设
2 grant 不需要 flush
3 你能确定你连接上的身份，是你以为是那个身份吗
4 你能确定你行使的权限是你“仅赋予”这个词限定的吗？

julyclyde

2016-02-25 13:30:28 +08:00

select user();
发结果

likexian

2016-02-25 13:35:49 +08:00

test 是不限制权限的，先了解清除再吐
而且你的 grant 是给所有 db 权限

echo1937

2016-02-25 13:38:28 +08:00

你真的仔细看清楚了 test 库的特性吗?

lhbc

2016-02-25 13:38:43 +08:00

GRANT SHUTDOWN ON *.* TO 'shutdown'@'localhost';
自己看明白这个是干嘛的

按这么说， Linux 的权限也是摆设的，简单修改用户的 uid=0 就能干所有事

jarlyyn

2016-02-25 13:50:52 +08:00 via Android

自己的 vps 吧？

搞不好是 centos 的吧？

jarlyyn

2016-02-25 13:55:17 +08:00

man mysql_secure_installation

cevincheung

2016-02-25 13:58:35 +08:00

@julyclyde
http://i13.tietuku.com/91744ebf8b258611.png

@likexian
是给所有的库 shutdown 的权限吧

julyclyde

2016-02-26 13:51:31 +08:00

@cevincheung 再看看
show grants for ''@localhost;
show grants for 'shutdown'@localhost;

julyclyde

2016-02-26 13:52:04 +08:00

@likexian
@echo1937
test 并不是“神奇的”不限制权限的，不限制权限也并不是 test 的“特性”

cevincheung

2016-02-26 14:25:58 +08:00

@julyclyde
http://i13.tietuku.com/606961e41e1f103d.png

没有''用户