GRANT和NO_AUTO_CREATE_USER

wwmshe

授权命令GRANT 语句的语法如下：

GRANT privileges (columns) ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION

 

其中IDENTIFIED BY是可选子句，用来于指定mysql用户的口令。

 

既然是可选子句，那就是可以没有的子句。问题来了:

 

要是没有指定IDENTIFIED BY，会怎么样？

 

答案是可能导致一个安全漏洞：如果user是指现有用户，那么没有任何影响；但如果user是指新用户，那么该用户将不被赋予口令，也就是说，这样的语句会创建一个口令为空，且已有数据库操作权限的mysql用户！

 

那么要如何避免这样的情况发生呢？

 

不用担心，mysql自身已经给出了解决方案。在关于mysql运行模式的文档里有这样一段：

 

NO_AUTO_CREATE_USER:

One of Server SQL Modes,to prevent the GRANT statement from automatically creating new users if it would otherwise do so, unless a nonempty password also is specified.

 

即在NO_AUTO_CREATE_USER运行模式下，mysql会阻止任何创建空密码的用户。所以只要将mysql发运行模式指定为NO_AUTO_CREATE_USER，即可解决此问题。

 

指定运行模式的方法也很简单：

 

You can set the default SQL mode by starting mysqld with the --sql-mode="modes" option, or by using sql-mode="modes" in my.cnf。

 

即在启动mysqld时，使用--sql-mode="modes"选项，或者直接将sql-mode="modes"写到my.cnf里。