mysql用户管理

!这是dba的活儿!,但是万一公司没有dba?

mysql用户指的是什么?

我们每一次在操作前都需要指定账号和密码,这个账号就是mysql的用户;

为什么要管理?

一个公司不可能只有一个工程师,大公司,不不仅有很多工程师 还有很多不同部门,但是数据库服务器只有一个,大家都要访问,这就涉及到用户和权限问题了

一个工程师对应一个账户,

哪些工程师可以操作哪些数据库,哪些表,甚至哪些字段,都可以进行控制,例如,腾讯,有qq和微信不同项目,qq的工程师,就不应该去访问微信项目的数据;

mysql是如何管理的

mysql本质上是一款cs软件,它具备用户认证!

我们有没有做过用户认证呢? atm! 购物车,都做过,

我们是如何实现的?写入文件,mysql也是一样的,

只不过它把文件称为表

那么要怎么添加账户呢?

把用户信息写入表中就可以了

权限相关表

来看看它都把数据放在哪个表中了!

自带的mysql数据库,四个表用于存储账户信息以及权限
user
db
table_priv
columns_priv

权限优先级

user->db->table_priv->columns_priv

select *from user;
#由于字段较多 以表格形式展示 会比较乱,可以添加\g来纵向显示
select *from user\g;

内置root账户字段信息解析

创建账号语句

create user 用户名@"ip地址"  "identified" by 密码;
create user tom@"192.168.101" identified by "123";

该语句表面tom只能在101机器上使用,别的机器就无法登录

用%可以表示在任意机器可用

注意:该方式创建的账号没有任何权限 所以了解即可

授权语句

授权:

授权语句执行时如果账号不存在会自动创建账号 所以更推荐使用

注意:默认只有root才能为其他账号授权

grant all on *.* to tom@"localhost" identified by "123";
#该语句中的all 增删改查所有权限 但是不包括grant权限
#*.* 表示任何数据库 任何表 存储在user表

grant all on *.* to toms@"%" identified by "123";
# host 为% 表示 该账户可以在任何主机上登录但是不包括localhost
grant all on *.* to toms@"localhost" identified by "123";
# 继续执行 上述语句保证localhost也可以登录该账户




grant all on db.* to tom@"localhost" identified by "123" 
#db.* 该用户可以操作db数据库的任何表 存储在 db表


grant all on db.t1 to tom@"localhost" identified by "123" 
#db.* 该用户可以操作db数据库的t1表 存储在 table_privi表


grant select(id) on db.t1 to tom@"localhost" identified by "123" 
#精确到字段 和  操作级别
#该用户只能查询 db下的t1表 



grant all on *.* to tom@"localhost" identified by "123" with grant option;
#with grant option 表示该账户可以将权限授予其他用户



revoke all privileges [column]   on db.table from user@"host";
#收回权限


drop user@"host"
#删除用户

flush privileges;
#刷新权限表 一些时候权限信息可能会有所延迟 可以执行该语句立即刷新权限信息

pymysql模块

pymysql是python提供的一个mysql客户端模块,用于与mysql服务器建立连接,发送查询,并获取结果等;

基本使用:

import pymysql
# 1.建立连接
try:
    conn = pymysql.connect(host="127.0.0.1",port=3306,user="root",password="",db="day46",)
    print("连接服务器成功!")
    #2.获取游标对象
    cursor = conn.cursor()
    #3.执行sql语句
    count = cursor.execute("select *from user")
    print("结果数量: %s" % count)

    # 提取结果
    # print(cursor.fetchall())
    # print(cursor.fetchone())
    # print(cursor.fetchmany(1))

    # 移动游标位置  相对当前位置
    cursor.scroll(1,"relative")
    cursor.scroll(-1, "relative")
    print(cursor.fetchone())

    # 移动游标位置  使用绝对位置
    cursor.scroll(0, "absolute")
    print(cursor.fetchone())

    print(cursor.fetchall())
    # 注意 游标移动到末尾后无法在读取到数据 若需重复读取数据,需要使用scroll来移动游标

except exception as e:
    print("连接服务器失败.....")
    print(type(e),e)
finally:
    if cursor:
        cursor.close()
        print("关闭游标")
    if conn:
        conn.close()
        print("关闭链接")

上述代码中 fetch 相关函数返回值类型为元组,使用起来不够方便,我们可以在创建游标时指定游标类型为字典类型像这样:

cursor = conn.cursor(pymysql.cursors.dictcursor)

sql注入攻击

何为sql注入

sql注入指的是,用户在输入数据时,按照sql的语法,来编写带有攻击目的的sql语句,并插入到原始语句中执行.

例如:登录功能,需要用户输入用户名和密码

正常的一个登录功能代码如下:

try:
    conn = pymysql.connect(host="127.0.0.1",port=3306,user="root",password="",db="day46",)
    print("连接服务器成功!")
    cursor = conn.cursor(pymysql.cursors.dictcursor)
    
    user = input("username:")
    password = input("password:")
    
    count = cursor.execute("select *from user where name = '%s' and password = '%s'" % (user,password))
    if count:
        print("登录成功!")
    else:
        print("登录失败!")
except exception as e:
    print(type(e),e)
finally:
    if cursor:cursor.close()
    if conn: conn.close()

上述代码有被注入攻击的危险

尝试在用户名中输入以下内容,密码随意
 jerry' — ass 
或者连用户名都不用写
' or 1 = 1 -- asaa

解决方案:

​ 1.客户端在发送sql给服务器前进行re判断

​ 这样的问题在于一些程序可以模拟客户端直接发送请求给服务器

​ 2.在服务器端将sql交给mysql是作进一步处理,相关的代码其实pymysql已经做了封装

​ 我们只要保证不要自己来拼接sql语句即可,将拼接参数操作交给pymysql.

try:
    conn = pymysql.connect(host="127.0.0.1",port=3306,user="root",password="",db="day46",)
    print("连接服务器成功!")
    cursor = conn.cursor(pymysql.cursors.dictcursor)
    
    user = input("username:")
    password = input("password:")

    sql = "select *from user where name = %s and password = %s"
    print(sql)
    count = cursor.execute(sql,(user,password)) # 参数交给模块
    if count:
        print("登录成功!")
    else:
        print("登录失败!")
except exception as e:
    print(type(e),e)
finally:
    if cursor:cursor.close()
    if conn: conn.close()

增删改

import pymysql


# 1.建立连接
try:
    conn = pymysql.connect(host="127.0.0.1",port=3306,user="root",password="",db="day46",)
    print("连接服务器成功!")
    cursor = conn.cursor(pymysql.cursors.dictcursor)
    
    #增
    #sql = "insert into user values(null,%s,%s,%s)"
    #count = cursor.execute(sql,("tom","man","123321"))
    # 一次性插入多条记录
    #sql = "insert into user values (null,%s,%s,%s)"
    #count = cursor.executemany(sql, [("周芷若","woman","123"), ("赵敏","woman","321")])
    
    #删
    # count = cursor.execute("delete from user where id = 1")

    
    #改
    count = cursor.execute("update user set name = '刘大炮' where id = 1")

    if count:
        print("执行成功!")
    else:
        print("执行失败!")

    # 获取最新的id
    # print(cursor.lastrowid)
except exception as e:
    print(type(e),e)

finally:
    if cursor:cursor.close()
    if conn: conn.close()

强调:pymysql 对于数据的增删改默认都不会生效,必须调用链接对象的commit()来提交修改 或者在创建链接对象时指定为自动提交;

conn.commit() 
#或者创建链接对象时指定为自动提交
conn = pymysql.connect(host="127.0.0.1",port=3306,user="root",password="",db="day46",autocommit=true)