14.5.1.2 Syntaxe de GRANT et REVOKE

GRANT priv_type [(column_list)] [, priv_type [(column_list)]] ...
    ON {tbl_name | * | *.* | db_name.*}
    TO user [IDENTIFIED BY [PASSWORD] 'password']
        [, user [IDENTIFIED BY [PASSWORD] 'password']] ...
    [REQUIRE
        NONE |
        [{SSL| X509}]
        [CIPHER cipher [AND]]
        [ISSUER issuer [AND]]
        [SUBJECT subject]]
    [WITH [GRANT OPTION | MAX_QUERIES_PER_HOUR count |
                          MAX_UPDATES_PER_HOUR count |
                          MAX_CONNECTIONS_PER_HOUR count]]

REVOKE priv_type [(column_list)] [, priv_type [(column_list)]] ...
    ON {tbl_name | * | *.* | db_name.*}
    FROM user [, user] ...
 
REVOKE ALL PRIVILEGES, GRANT OPTION FROM user [, user] ...

Les informations sur les comptes MySQL sont stockés dans la base mysql . Cette base et son accès sont présentés en détails dans la section Administration de la base .

Niveau global

Les droits globaux s'appliquent à toutes les bases de données d'un serveur. Ces droits sont stockés dans la table mysql.user . REVOKE ALL ON *.* retirera seulement les privilèges globaux.

Niveau base de données

Les droits de niveau de base de données s'appliquent à toutes les tables d'une base de données. Ces droits sont stockés dans les tables mysql.db et mysql.host . REVOKE ALL ON db.* retirera seulement les privilèges de base de données.

Niveau table

Les droits de table s'appliquent à toutes les colonnes d'une table. Ces droits sont stockés dans la table mysql.tables_priv . REVOKE ALL ON db.table retirera seulement les privilèges de table.

Niveau colonne

Les droits de niveau de colonnes s'appliquent à des colonnes dans une table. Ces droits sont stockés dans la table mysql.columns_priv . Quand vous utilisez REVOKE vous devez spécifier les mêmes colonnes qui s'étaient vues accorder des privilèges.

REVOKE ALL PRIVILEGES,GRANT FROM user_name [, user_name ...]

REVOKE ALL PRIVILEGES FROM user [, user] ...
REVOKE GRANT OPTION FROM user [, user] ...

USAGE peut être utilisé lorsque vous voulez créer un utilisateur sans aucun droit.

Dans les anciennes versions de MySQL, le droit de PROCESS donnait les mêmes droits que le nouveau droit SUPER .

Les droits EXECUTION , FILE , PROCESS , RELOAD , REPLICATION CLIENT , REPLICATION SLAVE , SHOW DATABASES , SHUTDOWN et SUPER sont des droits d'administration, qui ne peuvent être donnés que globalement (avec la syntaxe ON *.* ).

Les seuls droits priv_type que vous pouvez donner au niveau d'une table sont SELECT , INSERT , UPDATE , DELETE , CREATE , DROP , GRANT OPTION , INDEX et ALTER .

GRANT ALL assigne des droits que vous possédez au niveau où vous le possédez. Par exemple, si vous utilisez GRANT ALL ON db_name.* , qui est un droit de niveau de base de données, aucun des droits globaux, comme FILE ne sera donné.

MySQL ne supprime pas les droits lorsqu'un utilisateur efface une table ou une base.

Afin de permettre l'identification des utilisateurs depuis des hôtes arbitraires, MySQL supporte la spécification du nom d'utilisateur nom_utilisateur sous la forme user@host . Si vous voulez spécifier un nom d'utilisateur user qui contient des caractères spéciaux tels que '-' , ou une chaîne d'hôte host qui contient des caractères joker (comme '%' ), vous pouvez placer le nom de l'utilisateur ou de l'hôte entre guillemets (par exemple, 'test-utilisateur'@'test-nomdhote' ).

La forme simple de user est synonyme de user@"%" .

mysql> GRANT ALL ON test.* TO ''@'localhost' ...

mysql> SELECT Host,User FROM mysql.user WHERE User='';

mysql> DELETE FROM mysql.user WHERE Host='localhost' AND User='';
mysql> FLUSH PRIVILEGES;

Actuellement, la commande GRANT supporte uniquement les noms d'hôte, colonne, table et bases de données d'au plus 60 caractères. Un nom d'utilisateur peut être d'au plus 16 caractères.

Les droits d'une colonne sont calculés comme ceci :

droit global
OR (droit de base de données ET droit d'hôte)
OR droit de table
OR droit de colonne

Si vous donnez des droits à une paire utilisateur/hôte qui n'existe pas dans la table mysql.user , une ligne sera créée et restera disponible jusqu'à son effacement avec la commande DELETE . En d'autre termes, GRANT crée une ligne dans la table user , mais REVOKE ne la supprime pas. Vous devez le faire explicitement avec la commande DELETE .

Attention : si vous créez un nouvel utilisateur, mais ne spécifiez pas de clause IDENTIFIED BY , l'utilisateur n'aura pas de mot de passe. Ce n'est pas sécuritaire.

Si vous ne voulez pas transmettre le mot de passe en texte clair, vous pouvez immédiatement utiliser l'option PASSWORD suivi du mot de passe déjà chiffré avec la fonction PASSWORD() ou l'API C make_scrambled_password(char *to, const char *password) .

Si un utilisateur n'a pas de droit sur une table, elle ne sera pas affichée lorsqu'il demandera la liste des tables avec la commande SHOW TABLES . Si un utilisateur n'a pas de droit dans une base, le nom de la base ne sera pas affiché par SHOW DATABASES à moins que l'utilisateur n'ai un droit de SHOW DATABASES .

Vous ne pouvez pas donner un droit que vous ne possédez pas. le droit de GRANT OPTION ne vous donne le droit que de donner les droits que vous possédez.

Il est recommandé de ne pas donner de droits de ALTER à un utilisateur normal. Si vous le faîtes, l'utilisateur pourra essayer de contourner le système de droits en renommant des tables.

Il y a différentes possibilités pour limiter le type de connexions d'un compte :

• Si un compte ne doit pas utiliser SSL ou X509, les connexions sont autorisées si le mot de passe et le nom d'utilisateur sont valides. Cependant, les connexions non-chiffrées peuvent aussi être utilisées par le client, si le client dispose des bons certificats et clés.
• L'option REQUIRE SSL limite le serveur aux connexions chiffrées avec SSL. Notez que cette option peut être omise s'il y a des lignes d'identifications qui autorisent les connexions non chiffrées.

  mysql> GRANT ALL PRIVILEGES ON test.* TO 'root'@'localhost'     -> IDENTIFIED BY 'goodsecret' REQUIRE SSL;

• REQUIRE X509 signifie que le client doit avoir un certificat valide, mais que le certificat exact, l'émetteur et le sujet n'ont pas d'importance. La seule obligation est qu'il faut pouvoir vérifier la signature auprès d'une des autorités de certification.

  mysql> GRANT ALL PRIVILEGES ON test.* TO 'root'@'localhost'     -> IDENTIFIED BY 'goodsecret' REQUIRE X509;

• REQUIRE ISSUER 'issuer' impose aux connexions l'utilisation d'un certificat X509 émis par l'autorité de certification 'issuer' . Si le client présente un certificat d'une autre autorité, le serveur rejette la connexion. L'utilisation des certificats X509 implique toujours un chiffrement, ce qui fait que l'option SSL est inutile.

  mysql> GRANT ALL PRIVILEGES ON test.* TO 'root'@'localhost'     -> IDENTIFIED BY 'goodsecret'     -> REQUIRE ISSUER '/C=FI/ST=Some-State/L=Helsinki/        O=MySQL Finland AB/CN=Tonu Samuel/Email=tonu@example.com';

  Notez que la valeur de ISSUER doit être saisie comme une seule chaîne.
• REQUIRE SUBJECT 'subject' impose à la connexion à la présentation d'un certificat X509 avec le sujet 'subject' . Si le client présente un certificat qui est valide, mais avec un autre sujet, le serveur rejette la connexion.

  mysql> GRANT ALL PRIVILEGES ON test.* TO 'root'@'localhost'     -> IDENTIFIED BY 'goodsecret'     -> REQUIRE SUBJECT '/C=EE/ST=Some-State/L=Tallinn/        O=MySQL demo client certificate/        CN=Tonu Samuel/Email=tonu@example.com';

  Notez que la valeur de SUBJECT doit être saisie comme une seule chaîne.
• REQUIRE CIPHER 'cipher' est nécessaire pour s'assurer que des tailles de clé et chiffrements suffisantes sont utilisées. SSL peut être faible si de vieux algorithmes avec des clés courtes sont utilisées. En utilisant cette option, vous pouvez spécifier un chiffrement spécifique.

  mysql> GRANT ALL PRIVILEGES ON test.* TO 'root'@'localhost'     -> IDENTIFIED BY 'goodsecret'     -> REQUIRE CIPHER 'EDH-RSA-DES-CBC3-SHA';

Les clauses SUBJECT , ISSUER et CIPHER peuvent être combinées avec la clause REQUIRE comme ceci :

mysql> GRANT ALL PRIVILEGES ON test.* TO 'root'@'localhost'
    -> IDENTIFIED BY 'goodsecret'
    -> REQUIRE SUBJECT '/C=EE/ST=Some-State/L=Tallinn/
       O=MySQL demo client certificate/
       CN=Tonu Samuel/Email=tonu@example.com'
    -> AND ISSUER '/C=FI/ST=Some-State/L=Helsinki/
       O=MySQL Finland AB/CN=Tonu Samuel/Email=tonu@example.com'
    -> AND CIPHER 'EDH-RSA-DES-CBC3-SHA';

Depuis MySQL 4.0.4, le mot clé AND est optionnel entre les clauses de REQUIRE .

Notez que si vous utilisez des droits de niveau table ou colonne même pour un utilisateur, le serveur vérifiera alors ces droits pour tous les utilisateurs, et cela ralentira MySQL un peu.

Les différences notables entre l'ANSI SQL et MySQL pour la commande GRANT sont :

• Les droits MySQL sont donnés pour une combinaison nom d'utilisateur + nom d'hôte, et non pas pour un nom d'hôte seulement.
• L'ANSI SQL n'a pas de droits globaux ou de niveau base de données, et l'ANSI SQL ne supporte pas tous les types de droits que MySQL supporte. MySQL ne supporte pas le droit ANSI SQL de TRIGGER ou UNDER .
• MySQL ne supporte pas les droits standard SQL TRIGGER et UNDER .
• Les droits ANSI SQL sont structurés de manière hiérarchique. Si vous supprimez un utilisateur, tous les droits donnés à cet utilisateur seront supprimés. Avec MySQL, les droits ne sont pas automatiquement supprimés, et vous devez les supprimer manuellement, si besoin.
• Avec MySQL, si vous avez le droit de INSERT sur uniquement quelques colonnes de la table, vous pourrez exécuter des insertions. Les colonnes pour lesquelles vous n'avez pas de droit prendront alors leur valeur par défaut. L'ANSI SQL vous impose d'avoir les droits d' INSERT sur toutes les colonnes.
• Lorsque vous détruisez une table avec ANSI SQL, tous les droits liés à la table sont supprimés. Si vous supprimez un droit en ANSI SQL, tous les droits qui étaient basés sur ce droit sont supprimés. Avec MySQL, les droits peuvent être abandonnés explicitement avec la commande REVOKE , ou en manipulant les tables de droits de MySQL.