关于Mysql的用户、权限、建表、索引

目录

用户权限管理

创建用户

权限分配

SQL开发建议

关于命名

关于建表

1、使用INNODB存储引擎。

2、建议使用UNSIGNED存储非负数值。

3、建议使用INT UNSIGNED存储IPV4。

4、强烈建议使用TINYINT来代替ENUM类型。

5、使用VARBINARY存储大小写敏感的变长字符串或二进制内容。

6、INT类型固定占用4字节存储,例如INT(4)仅代表显示字符宽度为4位,不代表存储长度。

7、区分使用DATETIME和TIMESTAMP。存储年使用YEAR类型。存储日期使用DATE类型。 存储时间(精确到秒)建议使用TIMESTAMP类型。

8、将大字段、访问频率低的字段拆分到单独的表中存储,分离冷热数据。

9、禁止在数据库表中存储明文密码。

10、表字符集使用UTF8,必要时可申请使用UTF8MB4字符集。

11、采用合适的分库分表策略。例如千库十表、十库百表等。

12.表必须有主键,推荐使用UNSIGNED自增列作为主键。

关于索引

1、禁止冗余索引。

2、禁止重复索引。

3、不在低基数列上建立索引,例如“性别”。

4、合理使用覆盖索引减少IO,避免排序。

关于SQL

1、用IN代替OR。SQL语句中IN包含的值不应过多,应少于1000个。

2、用UNION ALL代替UNION。

3、尽量不使用order by rand()。

4、建议使用合理的分页方式以提高分页效率。

5、SELECT只获取必要的字段,尽量少使用SELECT*。

6、SQL中避免出现now()、rand()、sysdate()、current_user()等不确定结果的函数。

7、减少与数据库交互次数,尽量采用批量SQL语句。

8、拆分复杂SQL为多个小SQL,避免大事务。

9、对同一个表的多次alter操作必须合并为一次操作。

10、尽量少使用存储过程、触发器、视图、自定义函数等。

其他

1、控制super权限的应用程序账号存在。

2、提交线上建表改表需求,必须详细注明涉及到的所有SQL语句(包括INSERT、DELETE、UPDATE),便于DBA进行审核和优化。

3、不要在MySQL数据库中存放业务逻辑。


用户权限管理

创建用户

CREATE USER 'username'@'host' IDENTIFIED BY 'password';

说明:

username

所创建的用户名

host 指定该用户在哪个主机上可以登陆,如果是本地用户可用localhost,如果想让该用户可以从任意远程主机登陆,可以使用通配符%.
password 该用户的登陆密码,密码可以为空,如果为空则该用户可以不需要密码登陆服务器.

如:

CREATE USER 'admin'@'192.168.1.1' IDENDIFIED BY '123456';

注:创建用户时也可以向user表中添加用户信息实现添加用户。

权限分配

MySQL权限原则:

权限控制主要是出于安全因素,因此需要遵循一下几个经验原则:

  1. 只授予能满足需要的最小权限,防止用户越权。
    如:用户只是需要查询,那就只赋予select权限,不要给用户赋予update、insert或者delete等其它权限。
  2. 创建用户的时候限制用户的登录主机,一般是限制成指定IP或者内网IP段。
  3. 初始化数据库的时候删除没有密码的用户。安装完数据库的时候会自动创建一些用户,这些用户默认没有密码。
  4. 为每个用户设置满足密码复杂度的密码
  5. 定期清理不需要的用户。回收权限或者删除用户

  MYSQL权限一览:

权限

权限级别

权限说明

CREATE

数据库、表或索引

创建数据库、表或索引权限

DROP

数据库或表

删除数据库或表权限

GRANT OPTION

数据库、表或保存的程序

赋予权限选项

REFERENCES

数据库或表

 

ALTER

更改表,比如添加字段、索引等

DELETE

删除数据权限

INDEX

索引权限

INSERT

插入权限

SELECT

查询权限

UPDATE

更新权限

CREATE VIEW

视图

创建视图权限

SHOW VIEW

视图

查看视图权限

ALTER ROUTINE

存储过程

更改存储过程权限

CREATE ROUTINE

存储过程

创建存储过程权限

EXECUTE

存储过程

执行存储过程权限

FILE

服务器主机上的文件访问

文件访问权限

CREATE TEMPORARY TABLES

服务器管理

创建临时表权限

LOCK TABLES

服务器管理

锁表权限

CREATE USER

服务器管理

创建用户权限

PROCESS

服务器管理

查看进程权限

RELOAD

服务器管理

执行flush-hosts, flush-logs, flush-privileges, flush-status, flush-tables, flush-threads, refresh, reload等命令的权限

REPLICATION CLIENT

服务器管理

复制权限

REPLICATION SLAVE

服务器管理

复制权限

SHOW DATABASES

服务器管理

查看数据库权限

SHUTDOWN

服务器管理

关闭数据库权限

SUPER

服务器管理

执行kill线程权限

MYSQL的权限如何分布,就是针对表可以设置什么权限,针对列可以设置什么权限等等,这个可以从官方文档中的一个表来说明:

权限分布

可能的设置的权限

表权限

'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter'

列权限

'Select', 'Insert', 'Update', 'References'

过程权限

'Execute', 'Alter Routine', 'Grant'

MySQL权限控制

1、GRANT命令使用说明:

创建一个只允许从本地登录的超级用户:,并允许将权限赋予别的用户,

用户名:local_super_user

密码为:123qweASD#

grant all privileges on *.* to local_super_user@'localhost' identified by "123qweASD#" with grant option;

GRANT命令说明:

ALL PRIVILEGES 表示所有权限,你也可以使用select、update等权限。
ON 用来指定权限针对哪些库和表。
*.*  前面的*号用来指定数据库名,后面的*号用来指定表名。
TO  表示将权限赋予某个用户。
local_super_user@'localhost'

@前面的local_super_user是用户名

@后面的localhost是限制的主机,可以是IP、IP段、域名以及%(%表示任何地方)。

注意:这里%有的版本不包括本地,以前碰到过给某个用户设置了%允许任何地方登录,但是在本地登录不了,这个和版本有关系,遇到这个问题再加一个localhost的用户。

IDENTIFIED BY "123qweASD#" IDENTIFIED BY后面的123qweASD#是用户的登录密码。
WITH GRANT OPTION 这个选项表示该用户可以将自己拥有的权限授权给别人。

注意:经常有人在创建操作用户的时候不指定WITH GRANT OPTION选项导致后来该用户不能使用GRANT命令创建用户或者给其它用户授权。

2、刷新权限

使用这个命令使权限生效,尤其是你对那些权限表user、db、host等做了update或者delete更新的时候。以前遇到过使用grant后权限没有更新的情况,只要对权限做了更改就使用FLUSH PRIVILEGES命令来刷新权限。

flush privileges;

3、查看权限

查看当前用户的权限:

show grants;
+---------------------------------------------------------------------------------------+

| Grants for local_super_user@localhost                                                 |

+---------------------------------------------------------------------------------------+

| GRANT ALL PRIVILEGES ON *.* TO'local_super_user'@'localhost' WITH GRANT OPTION        |

| GRANT PROXY ON ''@'' TO'local_super_user'@'localhost' WITH GRANT OPTION               |

+---------------------------------------------------------------------------------------+

查看某个用户的权限:

show grants for 'local_super_user'@'%';

4、回收权限

revoke delete on *.* from 'local_super_user'@'localhost';

5、删除用户

drop user 'local_super_user'@'localhost';

6、对账户重命名

rename user 'local_super_user'@'%' to 'eason_kim'@'%';

7、修改密码

1、用set password命令

SET PASSWORD FOR 'local_super_user'@'localhost' = PASSWORD('123456');

2、用mysqladmin

[root@dev~]# mysqladmin -ulocal_super_user -p123qweASD# password 1234abcd

格式:mysqladmin -u用户名 -p旧密码 password 新密码

3、用update直接编辑user表

use mysql;

update user set PASSWORD = PASSWORD('1234abcd') where user = 'local_super_user';

flush privileges;

 

SQL开发建议

关于命名

  1. 库名、表名、字段名必须使用小写字母,并采用下划线分割
  2. 库名、表名、字段名最多64个字符,尽量不要超过32个字符
  3. 库名、表名、字段名禁止使用MySQL保留字。(当库名、表名、字段名等属性含有保留字时,SQL语句必须用反引号引用属性名称,这将使得SQL语句书写、SHELL脚本中变量的转义等变得非常复杂。)
  4. 尽量不使用分区表。(分区表对分区键有严格要求;分区表在表变大后,执行DDL、SHARDING、单表恢复等都变得更加困难。因此禁止使用分区表,并建议业务端手动SHARDING。)

关于建表

1、使用INNODB存储引擎。

INNODB引擎是MySQL5.5版本以后的默认引擘,支持事务、行级锁,有更好的数据恢复能力、更好的并发性能,同时对多核、大内存、SSD等硬件支持更好,支持数据热备份等,因此INNODB相比MyISAM有明显优势。

2、建议使用UNSIGNED存储非负数值。

同样的字节数,非负存储的数值范围更大。如TINYINT有符号为 -128-127,无符号为0-255。

3、建议使用INT UNSIGNED存储IPV4。

UNSINGED INT存储IP地址占用4字节,CHAR(15)则占用15字节。另外,计算机处理整数类型比字符串类型快。使用INT UNSIGNED而不是CHAR(15)来存储IPV4地址,通过MySQL函数inet_ntoa和inet_aton来进行转化。IPv6地址目前没有转化函数,需要使用DECIMAL或两个BIGINT来存储。

例如:

SELECT INET_ATON('209.207.224.40'); 

3520061480

SELECT INET_NTOA(3520061480); 

209.207.224.40

4、强烈建议使用TINYINT来代替ENUM类型。

ENUM类型在需要修改或增加枚举值时,需要在线DDL,成本较大;ENUM列值如果含有数字类型,可能会引起默认值混淆。

5、使用VARBINARY存储大小写敏感的变长字符串或二进制内容。

VARBINARY默认区分大小写,没有字符集概念,速度快。

6、INT类型固定占用4字节存储,例如INT(4)仅代表显示字符宽度为4位,不代表存储长度。

数值类型括号后面的数字只是表示宽度而跟存储范围没有关系,比如INT(3)默认显示3位,空格补齐,超出时正常显示,python、java客户端等不具备这个功能。

7、区分使用DATETIME和TIMESTAMP。存储年使用YEAR类型。存储日期使用DATE类型。 存储时间(精确到秒)建议使用TIMESTAMP类型。

DATETIME和TIMESTAMP都是精确到秒,优先选择TIMESTAMP,因为TIMESTAMP只有4个字节,而DATETIME有8个字节。同时TIMESTAMP具有自动赋值以及自动更新的特性。

注意:在5.5和之前的版本中,如果一个表中有多个timestamp列,那么最多只能有一列能具有自动更新功能。

8、将大字段、访问频率低的字段拆分到单独的表中存储,分离冷热数据。

有利于有效利用缓存,防止读入无用的冷数据,较少磁盘IO,同时保证热数据常驻内存提高缓存命中率。

9、禁止在数据库表中存储明文密码。

采用加密字符串存储密码,并保证密码不可解密,同时采用随机字符串加盐保证密码安全。防止数据库数据被公司内部人员或黑客获取后,采用字典攻击等方式暴力破解用户密码。

10、表字符集使用UTF8,必要时可申请使用UTF8MB4字符集。

  1. UTF8字符集存储汉字占用3个字节,存储英文字符占用一个字节。
  2. UTF8统一而且通用,不会出现转码出现乱码风险。
  3. 如果遇到EMOJ等表情符号的存储需求,可申请使用UTF8MB4字符集。

11、采用合适的分库分表策略。例如千库十表、十库百表等。

采用合适的分库分表策略,有利于业务发展后期快速对数据库进行水平拆分,同时分库可以有效利用MySQL的多线程复制特性。

12.表必须有主键,推荐使用UNSIGNED自增列作为主键。

表没有主键,INNODB会默认设置隐藏的主键列;没有主键的表在定位数据行的时候非常困难,也会降低基于行复制的效率。

 

关于索引

1、禁止冗余索引。

索引是双刃剑,会增加维护负担,增大IO压力。(a,b,c)、(a,b),后者为冗余索引。可以利用前缀索引来达到加速目的,减轻维护负担。

2、禁止重复索引。

primarykey a;uniq index a;重复索引增加维护负担、占用磁盘空间,同时没有任何益处。

3、不在低基数列上建立索引,例如“性别”。

大部分场景下,低基数列上建立索引的精确查找,相对于不建立索引的全表扫描没有任何优势,而且增大了IO负担。

4、合理使用覆盖索引减少IO,避免排序。

覆盖索引能从索引中获取需要的所有字段,从而避免回表进行二次查找,节省IO。INNODB存储引擎中, secondary index(非主键索引,又称为辅助索引、二级索引)没有直接存储行地址,而是存储主键值。如果用户需要查询secondary index中所不包含的数据列,则需要先通过secondary index查找到主键值,然后再通过主键查询到其他数据列,因此需要查询两次。覆盖索引则可以在一个索引中获取所有需要的数据,因此效率较高。主键查询是天然的覆盖索引。例如SELECT email,uid FROMuser_email WHERE uid=xx,如果uid不是主键,适当时候可以将索引添加为index(uid,email),以获得性能提升。

关于SQL

1、用IN代替OR。SQL语句中IN包含的值不应过多,应少于1000个。

IN是范围查找,MySQL内部会对IN的列表值进行排序后查找,比OR效率更高。

2、用UNION ALL代替UNION。

UNIONALL不需要对结果集再进行排序。

3、尽量不使用order by rand()。

orderby rand()会为表增加一个伪列,然后用rand()函数为每一行数据计算出rand()值,然后基于该行排序,这通常都会生成磁盘上的临时表,因此效率非常低。建议先使用rand()函数获得随机的主键值,然后通过主键获取数据。

4、建议使用合理的分页方式以提高分页效率。

5、SELECT只获取必要的字段,尽量少使用SELECT*。

6、SQL中避免出现now()、rand()、sysdate()、current_user()等不确定结果的函数。

语句级复制场景下,引起主从数据不一致;不确定值的函数,产生的SQL语句无法利用QUERY CACHE。

7、减少与数据库交互次数,尽量采用批量SQL语句。

使用下面的语句来减少和db的交互次数:

  • INSERT... ON DUPLICATE KEY UPDATE
  • REPLACE INTO
  • INSERT IGNORE
  • INSERT INTO VALUES()

8、拆分复杂SQL为多个小SQL,避免大事务。

简单的SQL容易使用到MySQL的QUERY CACHE;减少锁表时间特别是MyISAM;可以使用多核CPU。

9、对同一个表的多次alter操作必须合并为一次操作。

10、尽量少使用存储过程、触发器、视图、自定义函数等。

这些高级特性有性能问题,以及未知BUG较多。业务逻辑放到数据库会造成数据库的DDL、SCALE OUT、SHARDING等变得更加困难。

其他

1、控制super权限的应用程序账号存在。

2、提交线上建表改表需求,必须详细注明涉及到的所有SQL语句(包括INSERT、DELETE、UPDATE),便于DBA进行审核和优化。

并不只是SELECT语句需要用到索引。UPDATE、DELETE都需要先定位到数据才能执行变更。因此需要业务提供所有的SQL语句便于DBA审核。

3、不要在MySQL数据库中存放业务逻辑。

数据库是有状态的服务,变更复杂而且速度慢,如果把业务逻辑放到数据库中,将会限制业务的快速发展。建议把业务逻辑提前,放到前端或中间逻辑层,而把数据库作为存储层,实现逻辑与存储的分离。

你可能感兴趣的:(Mysql)