Открыть тикет 
+373 79 600002 
Телеграм-чат в реальном времени 
Часто задаваемые вопросы 
Русский
English 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
АдминистрацияКак создать нового пользователя и установить разрешения в MySQL
MySQL остается одной из наиболее широко развернутых систем управления реляционными базами данных в мире, обеспечивая работу всего — от небольших личных проектов до приложений масштаба предприятия. Независимо от того, являетесь ли вы разработчиком, системным администратором или владельцем бизнеса, управляющим собственной инфраструктурой, понимание того, как создавать пользователей MySQL и настраивать их разрешения, является обязательным навыком для поддержания безопасной и хорошо организованной среды базы данных.
Плохое управление пользователями — одна из основных причин взломов баз данных. Предоставление чрезмерных привилегий, повторное использование учетных данных или оставление активных учетных записей по умолчанию может подвергнуть весь уровень данных ненужному риску. Это руководство проведет вас через весь процесс — от входа в MySQL до проверки разрешений — с четкими командами, практическими примерами и лучшими практиками безопасности на каждом этапе.
Почему управление пользователями MySQL имеет значение
Прежде чем переходить к командам, стоит понять, *почему* это важно. MySQL работает на основе принципа наименьших привилегий: каждый пользователь должен иметь доступ только к конкретным базам данных, таблицам и операциям, которые ему действительно нужны. Это минимизирует масштаб ущерба от скомпрометированной учетной записи и значительно упрощает аудит.
Если вы запускаете MySQL на управляемом плане VPS Hosting или Dedicated Server, у вас есть полный доступ на уровне root к вашему экземпляру MySQL, что дает вам полный контроль над созданием пользователей и управлением разрешениями. Многие среды панели управления — такие как те, которые доступны с VPS с cPanel — также предоставляют графический интерфейс для управления MySQL, который может дополнить подход командной строки, описанный здесь.
Предварительные требования
Прежде чем начать, убедитесь, что у вас есть:
- MySQL 5.7+ или MySQL 8.0+ установлены и работают на вашем сервере
- Доступ root или доступ к учетной записи суперпользователя MySQL с привилегиями
GRANT OPTION - Доступ к терминалу (Linux/macOS) или Command Prompt / PowerShell (Windows)
Шаг 1: Вход в MySQL
Для управления пользователями и разрешениями необходимо аутентифицироваться как пользователь с достаточными административными привилегиями. В большинстве случаев это учетная запись root.
Откройте терминал или командную строку
- Linux / macOS: Откройте приложение терминала
- Windows: Откройте Command Prompt или PowerShell
Подключитесь к серверу MySQL
Выполните следующую команду:
mysql -u root -pВам будет предложено ввести пароль root. После успешной аутентификации вы увидите приглашение MySQL:
mysql>> Совет по безопасности: Если вы подключаетесь к удаленному серверу MySQL, укажите хост с флагом -h:
> “`bash
> mysql -u root -p -h your_server_ip
> “`
Шаг 2: Создание нового пользователя MySQL
После входа в оболочку MySQL вы можете создать нового пользователя с помощью оператора CREATE USER.
Синтаксис
CREATE USER 'username'@'host' IDENTIFIED BY 'password';Разбор параметров:
| Параметр | Описание |
|---|---|
username | Имя, которое вы хотите присвоить новому пользователю |
host | Хост, с которого пользователю разрешено подключаться. Используйте localhost для доступа только локально или % как подстановочный символ для любого хоста |
password | Надежный, уникальный пароль для этого пользователя |
Пример: создание пользователя, доступного с любого хоста
CREATE USER 'newuser'@'%' IDENTIFIED BY 'StrongP@ssw0rd!';Пример: создание пользователя, ограниченного localhost
CREATE USER 'localuser'@'localhost' IDENTIFIED BY 'AnotherStr0ng#Pass';> Лучшая практика: По возможности ограничивайте пользователей localhost или конкретным IP-адресом, а не используйте %. Доступ с подстановочным хостом ненужно увеличивает вашу поверхность атаки.
Примечание MySQL 8.0 о плагинах аутентификации
MySQL 8.0 представил caching_sha2_password как плагин аутентификации по умолчанию, что может вызвать проблемы совместимости со старыми клиентами или приложениями. При необходимости вы можете явно установить метод аутентификации:
CREATE USER 'newuser'@'%' IDENTIFIED WITH mysql_native_password BY 'StrongP@ssw0rd!';Шаг 3: предоставление разрешений пользователю
Создание пользователя не дает ему автоматически доступ к какой-либо базе данных. Вы должны явно назначить привилегии с помощью оператора GRANT.
Синтаксис
GRANT privileges ON database.table TO 'username'@'host';Разбор параметров:
| Параметр | Описание |
|---|---|
privileges | Разделенный запятыми список разрешений (например, SELECT, INSERT, UPDATE, DELETE) или ALL PRIVILEGES |
database.table | Область действия гранта. Используйте *.* для всех баз данных и таблиц, dbname.* для всех таблиц в конкретной базе данных или dbname.tablename для одной таблицы |
username@host | Целевая учетная запись пользователя |
Общие привилегии MySQL
| Привилегия | Описание |
|---|---|
SELECT | Чтение данных из таблиц |
INSERT | Добавление новых строк в таблицы |
UPDATE | Изменение существующих строк |
DELETE | Удаление строк из таблиц |
CREATE | Создание новых баз данных или таблиц |
DROP | Удаление баз данных или таблиц |
INDEX | Создание или удаление индексов |
ALTER | Изменение структур таблиц |
ALL PRIVILEGES | Полный доступ (используйте с осторожностью) |
GRANT OPTION | Разрешить пользователю предоставлять привилегии другим |
Пример: предоставление полного доступа к конкретной базе данных
GRANT ALL PRIVILEGES ON exampledb.* TO 'newuser'@'%';Пример: предоставление доступа только для чтения
GRANT SELECT ON exampledb.* TO 'readonly_user'@'localhost';Пример: предоставление конкретных привилегий для одной таблицы
GRANT SELECT, INSERT, UPDATE ON exampledb.orders TO 'app_user'@'localhost';Пример: предоставление глобальных привилегий (используйте редко)
GRANT ALL PRIVILEGES ON *.* TO 'admin_user'@'localhost' WITH GRANT OPTION;> Предупреждение: Предоставление ALL PRIVILEGES ON *.* дает пользователю доступ, эквивалентный суперпользователю. Зарезервируйте это только для доверенных административных учетных записей.
Шаг 4: очистка привилегий
После внесения изменений в разрешения пользователя рекомендуется перезагрузить таблицы привилегий, чтобы MySQL немедленно распознал ваши изменения:
FLUSH PRIVILEGES;> Примечание: В современных версиях MySQL (5.7.3+) FLUSH PRIVILEGES автоматически запускается после операторов GRANT, REVOKE и CREATE USER. Однако его явное выполнение после ручного редактирования системных таблиц mysql (через INSERT или UPDATE) остается необходимым.
Шаг 5: проверка разрешений пользователя
Всегда подтверждайте, что установленные вами разрешения верны, прежде чем вводить учетную запись пользователя в производство.
Проверка грантов для конкретного пользователя
SHOW GRANTS FOR 'newuser'@'%';Пример вывода:
+--------------------------------------------------------------+
| Grants for newuser@% |
+--------------------------------------------------------------+
| GRANT USAGE ON *.* TO `newuser`@`%` |
| GRANT ALL PRIVILEGES ON `exampledb`.* TO `newuser`@`%` |
+--------------------------------------------------------------+Список всех пользователей MySQL
SELECT user, host FROM mysql.user;Проверка собственных привилегий текущего пользователя
SHOW GRANTS;Шаг 6: отзыв разрешений (при необходимости)
Разрешения меняются со временем. Когда пользователю больше не требуется определенный доступ, немедленно отзовите его с помощью оператора REVOKE:
Синтаксис
REVOKE privileges ON database.table FROM 'username'@'host';Пример: отзыв всех привилегий у пользователя
REVOKE ALL PRIVILEGES ON exampledb.* FROM 'newuser'@'%';
FLUSH PRIVILEGES;Пример: отзыв конкретной привилегии
REVOKE DELETE ON exampledb.orders FROM 'app_user'@'localhost';Шаг 7: удаление пользователя (при необходимости)
Если учетная запись пользователя больше не требуется, удалите ее полностью, чтобы исключить ненужные векторы доступа:
DROP USER 'newuser'@'%';Эта команда удаляет учетную запись пользователя и все связанные привилегии в одной операции.
Управление пользователями MySQL в размещенных средах
Если вы управляете MySQL в среде общего или управляемого хостинга, процесс может немного отличаться в зависимости от вашей панели управления. Платформы, такие как cPanel, Plesk и DirectAdmin, предоставляют графические интерфейсы для создания пользователей MySQL и назначения разрешений без прямого написания SQL.
Для пользователей, которым нужен полный контроль командной строки без затрат на выделенный сервер, планы VPS Hosting предлагают идеальный баланс производительности, гибкости и стоимости. Если вы запускаете приложения, интенсивно использующие базы данных, которые требуют максимальной пропускной способности и изолированных ресурсов, рассмотрите возможность обновления до Dedicated Server для гарантированной производительности.
Для небольших проектов или сред разработки планы Shared Web Hosting обычно включают доступ к phpMyAdmin, который предоставляет веб-интерфейс для управления пользователями и базами данных MySQL.
Кроме того, если ваше приложение обрабатывает конфиденциальные данные пользователей, сочетание сервера базы данных с действительным SSL Certificate гарантирует, что данные, передаваемые между вашим приложением и сервером базы данных, остаются зашифрованными и защищенными от перехвата.
Лучшие практики безопасности для управления пользователями MySQL
Выполнение технических шагов — это только половина работы. Вот критические практики безопасности, которые должен реализовать ка