一．權(quán)限查看 

mysql> show grants for ‘root’@'localhost’ ;
+——————————————————————————-+
| Grants for root@localhost |
+——————————————————————————-+
| GRANT ALL PRIVILEGES ON *.* TO ‘root’@'localhost’ WITH GRANT OPTION |
+——————————————————————————-+ 

二．權(quán)限設(shè)置 

1.創(chuàng)建賬號或者賦予權(quán)限

GRANT privileges (columns) ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION 

GRANT語句的語法看上去像這樣：
　　GRANT privileges (columns) ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION　 

要使用該語句，你需要填寫下列部分： 
　　privileges 授予用戶的權(quán)限，下表列出可用于GRANT語句的權(quán)限指定符： 
　權(quán)限指定符 權(quán)限允許的操作 
　　Alter 　　　　　　修改表和索引 
　　Create 　　　　 創(chuàng)建數(shù)據(jù)庫和表 
　　Delete 　　　　 刪除表中已有的記錄 
　　Drop 　　 拋棄（刪除）數(shù)據(jù)庫和表 
　　INDEX 　　　　 創(chuàng)建或拋棄索引 
　　Insert 　　　　 向表中插入新行 
　　REFERENCE 　　未用 
　　Select　　　　 檢索表中的記錄 
　　Update 　　　　 修改現(xiàn)存表記錄 
　　FILE 　　　　　　讀或?qū)懛?wù)器上的文件 
　　PROCESS 　　 查看服務(wù)器中執(zhí)行的線程信息或殺死線程 
　　RELOAD 　　　　重載授權(quán)表或清空日志、主機緩存或表緩存。 
　　SHUTDOWN　　 關(guān)閉服務(wù)器 
　　ALL 　　　　　　所有；ALL PRIVILEGES同義詞 
　　USAGE 　　　　特殊的“無權(quán)限”權(quán)限

　　上表顯示在第一組的權(quán)限指定符適用于數(shù)據(jù)庫、表和列，第二組數(shù)管理權(quán)限。一般，這些被相對嚴格地授權(quán)，因為它們允許用戶影響服務(wù)器的操作。第三組權(quán)限特殊，ALL意味著“所有權(quán)限”，UASGE意味著無權(quán)限，即創(chuàng)建用戶，但不授予權(quán)限。

　　columns 　　權(quán)限運用的列，它是可選的，并且你只能設(shè)置列特定的權(quán)限。如果命令有多于一個列，應(yīng)該用逗號分開它們。 

　　what 　　權(quán)限運用的級別。權(quán)限可以是全局的（適用于所有數(shù)據(jù)庫和所有表）、特定數(shù)據(jù)庫（適用于一個數(shù)據(jù)庫中的所有表）或特定表的。可以通過指定一個columns字句是權(quán)限是列特定的。

　　user 　 　權(quán)限授予的用戶，它由一個用戶名和主機名組成。在MySQL中，你不僅指定誰能連接，還有從哪里連接。這允許你讓兩個同名用戶從不同地方連接。 MySQL讓你區(qū)分他們，并彼此獨立地賦予權(quán)限。MySQL中的一個用戶名就是你連接服務(wù)器時指定的用戶名，該名字不必與你的Unix登錄名或 Windows名聯(lián)系起來。缺省地，如果你不明確指定一個名字，客戶程序?qū)⑹褂媚愕牡卿浢鳛镸ySQL用戶名。這只是一個約定。你可以在授權(quán)表中將該名 字改為nobody，然后以nobody連接執(zhí)行需要超級用戶權(quán)限的操作。 

　　password 　 　賦予用戶的口令，它是可選的。如果你對新用戶沒有指定IDENTIFIED BY子句，該用戶不賦給口令（不安全）。對現(xiàn)有用戶，任何你指定的口令將代替老口令。如果你不指定口令，老口令保持不變，當(dāng)你用IDENTIFIED BY時，口令字符串用改用口令的字面含義，GRANT將為你編碼口令，不要你用SET PASSWORD 那樣使用password()函數(shù)。 

　　WITH GRANT OPTION子句是可選的。如果你包含它，用戶可以授予權(quán)限通過GRANT語句授權(quán)給其它用戶。你可以用該子句給與其它用戶授權(quán)的能力。

　　注意：用戶名、口令、數(shù)據(jù)庫和表名在授權(quán)表記錄中是大小寫敏感的，主機名和列名不是。 

　　一般地，你可以通過詢問幾個簡單的問題來識別GRANT語句的種類： 
　　誰能連接，從那兒連接？ 
　　用戶應(yīng)該有什么級別的權(quán)限，他們適用于什么？ 
　　用戶應(yīng)該允許管理權(quán)限嗎？ 

　　下面就討論一些例子。 

　　1.1 誰能連接，從那兒連接？ 
　　你可以允許一個用戶從特定的或一系列主機連接。有一個極端，如果你知道降職從一個主機連接，你可以將權(quán)限局限于單個主機：

　　GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"
　　GRANT ALL ON samp_db.* TO fred@res.mars.com IDENTIFIED BY "quartz" 

　　(samp_db.*意思是“samp_db數(shù)據(jù)庫的所有表)另一個極端是，你可能有一個經(jīng)常旅行并需要能從世界各地的主機連接的用戶max。在這種情況下，你可以允許他無論從哪里連接：
　　GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond" 
　　“%”字符起通配符作用，與LIKE模式匹配的含義相同。在上述語句中，它意味著“任何主機”。所以max和max@%等價。這是建立用戶最簡單的方法，但也是最不安全的。
　　其中，你可以允許一個用戶從一個受限的主機集合訪問。例如，要允許mary從snake.net域的任何主機連接，用一個%.snake.net主機指定符：
　　GRANT ALL ON samp_db.* TO mary@.snake.net IDENTIFIED BY "quartz"; 
　　
　　如果你喜歡，用戶標(biāo)識符的主機部分可以用IP地址而不是一個主機名來給定。你可以指定一個IP地址或一個包含模式字符的地址，而且，從MySQL 3.23，你還可以指定具有指出用于網(wǎng)絡(luò)號的位數(shù)的網(wǎng)絡(luò)掩碼的IP號：

　　GRANT ALL ON samp_db.* TO boris@192.168.128.3 IDENTIFIED BY "ruby" 
　　GRANT ALL ON samp_db.* TO fred@192.168.128.% IDENTIFIED BY "quartz" 
　　GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIED BY "ruby" 

　　第一個例子指出用戶能從其連接的特定主機，第二個指定對于C類子網(wǎng)192.168.128的IP模式，而第三條語句中，192.168.128.0/17指定一個17位網(wǎng)絡(luò)號并匹配具有192.168.128頭17位的IP地址。
　
　　1.2 用戶應(yīng)該有什么級別的權(quán)限和它們應(yīng)該適用于什么？
　　你可以授權(quán)不同級別的權(quán)限，全局權(quán)限是最強大的，因為它們適用于任何數(shù)據(jù)庫。要使ethel成為可做任何事情的超級用戶，包括能授權(quán)給其它用戶，發(fā)出下列語句：

　　GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION

　　ON子句中的*.*意味著“所有數(shù)據(jù)庫、所有表”。從安全考慮，我們指定ethel只能從本地連接。限制一個超級用戶可以連接的主機通常是明智的，因為它限制了試圖破解口令的主機。
　 　有些權(quán)限（FILE、PROCESS、RELOAD和SHUTDOWN）是管理權(quán)限并且只能用"ON *.*"全局權(quán)限指定符授權(quán)。如果你愿意，你可以授權(quán)這些權(quán)限，而不授權(quán)數(shù)據(jù)庫權(quán)限。例如，下列語句設(shè)置一個flush用戶，他只能發(fā)出flush語句。 這可能在你需要執(zhí)行諸如清空日志等的管理腳本中會有用：
　　GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass" 

　　一般地，你想授權(quán)管理權(quán)限，吝嗇點，因為擁有它們的用戶可以影響你的服務(wù)器的操作。
數(shù)據(jù)庫級權(quán)限適用于一個特定數(shù)據(jù)庫中的所有表，它們可通過使用ON db_name.*子句授予：

　　GRANT ALL ON samp_db TO bill@racer.snake.net INDETIFIED BY "rock" GRANT Select ON samp_db TO ro_user@% INDETIFIED BY "rock" 

　　第一條語句向bill授權(quán)samp_db數(shù)據(jù)庫中所有表的權(quán)限，第二條創(chuàng)建一個嚴格限制訪問的用戶ro_user（只讀用戶），只能訪問samp_db數(shù)據(jù)庫中的所有表，但只有讀取，即用戶只能發(fā)出Select語句。

　　你可以列出一系列同時授予的各個權(quán)限。例如，如果你想讓用戶能讀取并能修改現(xiàn)有數(shù)據(jù)庫的內(nèi)容，但不能創(chuàng)建新表或刪除表，如下授予這些權(quán)限：
　GRANT Select,Insert,Delete,Update ON samp_db TO bill@snake.net INDETIFIED BY "rock"

　　對于更精致的訪問控制，你可以在各個表上授權(quán)，或甚至在表的每個列上。當(dāng)你想向用戶隱藏一個表的部分時，或你想讓一個用戶只能修改特定的列時，列特定權(quán)限非常有用。如：

　　GRANT Select ON samp_db.member TO bill@localhost INDETIFIED BY "rock"
　　GRANT Update (expiration) ON samp_db. member TO bill@localhost 
　　第一條語句授予對整個member表的讀權(quán)限并設(shè)置了一個口令，第二條語句增加了Update權(quán)限，當(dāng)只對expiration列。沒必要再指定口令，因為第一條語句已經(jīng)指定了。 
　　如果你想對多個列授予權(quán)限，指定一個用逗號分開的列表。例如，對assistant用戶增加member表的地址字段的Update權(quán)限，使用如下語句，新權(quán)限將加到用戶已有的權(quán)限中：
　　GRANT Update (street,city,state,zip) ON samp_db TO assistant@localhost 
　
1.3 用戶應(yīng)該被允許管理權(quán)限嗎？
　 　你可以允許一個數(shù)據(jù)庫的擁有者通過授予數(shù)據(jù)庫上的所有擁有者權(quán)限來控制數(shù)據(jù)庫的訪問，在授權(quán)時，指定WITH GRANT OPTION。例如：如果你想讓alicia能從big.corp.com域的任何主機連接并具有sales數(shù)據(jù)庫中所有表的管理員權(quán)限，你可以用如下 GRANT語句： 
　　GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION 

　 　在效果上WITH GRANT OPTION子句允許你把訪問授權(quán)的權(quán)利授予另一個用戶。要注意，擁有GRANT權(quán)限的兩個用戶可以彼此授權(quán)。如果你只給予了第一個用戶Select權(quán) 限，而另一個用戶有GRANT加上Select權(quán)限，那么第二個用戶可以是第一個用戶更“強大”。  

常見語句：

常見賬號，并賦予權(quán)限

GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP ON db1.* TO 'linpp'@'192.168.40.111' IDENTIFIED BY 'qq';

進一步賦予權(quán)限

GRANT SELECT ON db2.* TO 'linpp'@'192.168.40.111';

2.撤權(quán)并刪除用戶 

要取消一個用戶的權(quán)限，使用REVOKE語句。REVOKE的語法非常類似于GRANT語句，除了TO用FROM取代并且沒有INDETIFED BY和WITH GRANT OPTION子句：

　　REVOKE privileges (columns) ON what FROM user 

　　user部分必須匹配原來GRANT語句的你想撤權(quán)的用戶的user部分。privileges部分不需匹配，你可以用GRANT語句授權(quán)，然后用REVOKE語句只撤銷部分權(quán)限。 
　　REVOKE語句只刪除權(quán)限，而不刪除用戶。即使你撤銷了所有權(quán)限，在user表中的用戶記錄依然保留，這意味著用戶仍然可以連接服務(wù)器。要完全刪除一個用戶，你必須用一條Delete語句明確從user表中刪除用戶記錄： 
%mysql -u root mysqlmysql>Delete FROM user ->Where User="user_name" and Host="host_name";mysql>FLUSH PRIVILEGES;
從ip為 * 以后限制ip 可先刪除賬號，在構(gòu)建有ip限制的用戶，用戶權(quán)限不會改變，或者直接修改user表的host
　　Delete語句刪除用戶記錄，而FLUSH語句告訴服務(wù)器重載授權(quán)表。（當(dāng)你使用GRANT和REVOKE語句時，表自動重載，而你直接修改授權(quán)表時不是。） 

常見語句：

 REVOKE UPDATE ON db1.* FROM 'linpp'@'192.168.40.111';

三.mysql 修改密碼

use mysql

update user set password=password('你的密碼') where User='root';
flush privileges; 

四．涉及到賬號和權(quán)限的表

User

每一行就是一個用戶賬號以及用戶的全部權(quán)限

Db

每一行包含了某些用戶在數(shù)據(jù)庫級權(quán)限

Host

每一行包含了用戶從指定主機登陸過來時它在一個數(shù)據(jù)庫里的所有權(quán)限，這個條目會與db表里的條目合并起來使用。雖然它是作為授權(quán)表羅列出來的，但是你無法使用grant,revoke等命令修改這個主機表，你只能手動添加和刪除其中的條目。

建議你不要動這張表。

Tables_priv

每一行寶航了指定用戶和表的表級別上的權(quán)限，也包括了視圖和權(quán)限在內(nèi)。

Columms_priv

每一行指定了用戶和列的列的級別上的權(quán)限。

Procs_priv

每一行包含了指定用戶和存儲程序的權(quán)限。