SQL语句实践

1. DDL语句之管理数据库

DDL的特点是对数据库内部的对象进行创建、修改、删除等操作，不涉及对表中内容的操作和更改。

1、创建数据库

1）建立一个名为oldboy的数据库

mysql> create database oldboy;    ---创建名为oldboy的数据库
Query OK, 1 row affected (0.04 sec)    ---Ouery OK表示执行成功，1 row affected表示影响了1行，0.04 sec表示执行的时间
mysql> show databases;    ---查看所有的数据库
+--------------------+
| Database           |
+--------------------+
| information_schema |    ---此表为系统表，存储数据库内置对象信息，如用户，权限等
| mysql              |    ---此表为系统表，存储用户授权和权限相关的信息，授权时会用到
| oldboy             |    ---这里就是刚才创建的数据库
| performance_schema |    ---这是MySQL第二条产品线增加的系统表，存储与性能相关的表数据
+--------------------+
4 rows in set (0.06 sec)
mysql> 

查看刚刚创建的oldboy库对应的SQL语句

mysql> show create database oldboy\G    ---\G是为了调整显示的格式
*************************** 1. row ***************************
       Database: oldboy
Create Database: CREATE DATABASE `oldboy` /*!40100 DEFAULT CHARACTER SET utf8 */
1 row in set (0.00 sec)
---当不指定字符集建库时，库的字符集默认和编译时指定的字符集一致

2）建立一个GBK字符集数据库，名为oldboy_gbk，并查看建库语句

mysql> create database oldboy_gbk CHARACTER SET gbk COLLATE gbk_chinese_ci;
Query OK, 1 row affected (0.08 sec)
mysql> show create database oldboy_gbk\G
*************************** 1. row ***************************
       Database: oldboy_gbk
Create Database: CREATE DATABASE `oldboy_gbk` /*!40100 DEFAULT CHARACTER SET gbk */
1 row in set (0.00 sec)

3）创建不同字符集格式的数据库命令集合

create database oldboy;    ---默认数据库的字符集设置配置
create database oldboy_gbk DEFAULT CHARACTER SET gbk COLLATE gbk_chinese_ci;    ---创建gbk字符集数据库
create database oldboy_utf8 DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;    ---创建utf8字符集数据库

提示：字符集的不一致是数据库里中文内容出现乱码的罪魁祸首，查看字符集及校对规则名字（指定字符集建库结尾的语句，例如SET gbk COLLATE gbk_chinese_ci）的方法为"mysql>SHOW CHARACTER SET;"
如果编译的时候指定了特定的字符集，则以后创建对应字符集的数据库时就不需要指定字符集了

cmake . -DCMAKE_INSTALL_PREFIX=/application/mysql-5.6.41 \
-DMYSQL_DATADIR=/application/mysql-5.6.41/data \
-DMYSQL_UNIX_ADDR=/application/mysql-5.6.41/tmp/mysql.sock \
-DDEFAULT_CHARSET=utf8 \    ---指定默认的数据库字符集
-DDEFAULT_COLLATION=utf8_general_ci \    ---指定默认数据库校对规则

在企业里的不同场景下，可根据公司开发的程序确定字符集（建议选择UTF8，移动互联网环境下可选utf8mb4）。也可以在编译的时候指定字符集。
此时，建库的时候默认创建即可，例如“create database oldboy;”
编译时没有指定字符集或者指定了与网站程序不同的字符集，创建数据库时指定字符集即可，也可以在数据库配置文件里修改默认的字符集显示

2、显示数据库

show databases;

示例：

mysql> show databases like 'oldboy';    ---匹配oldboy字符串的内容
+-------------------+
| Database (oldboy) |
+-------------------+
| oldboy            |
+-------------------+
1 row in set (0.34 sec)
mysql> show databases like 'oldboy%';    ---%为通配符，表示匹配以oldboy开头的所有内容
+--------------------+
| Database (oldboy%) |
+--------------------+
| oldboy             |
| oldboy_gbk         |
+--------------------+
2 rows in set (0.04 sec)

3、切换数据库

所谓的切换库，就相当于系统中的切换路径一样，只不过，系统中使用的是类似于“cd /etc”的命令，而数据库里切换库使用的是use命令。
如果oldboy数据库存在，则可通过如下命令尝试进入oldboy数据库里

mysql> select database();    ---查看当前管理员所在的库名
+------------+
| database() |
+------------+
| NULL       |    ---空值，表示没有在任何库里
+------------+
1 row in set (0.03 sec)
mysql> use oldboy    ---切换到oldboy库里
Database changed
mysql> select database();    ---重新查看
+------------+
| database() |
+------------+
| oldboy     |    ---表示存在于oldboy库里了
+------------+
1 row in set (0.00 sec)

4、查看数据库包含的表信息

查看数据库包含的表信息有两种常见的方法，第一种是切到数据库里面去查看，第二种是在外面查看库里的表信息。
切到数据库里面去查看表信息：

mysql> use oldboy
Database changed
mysql> show tables;
Empty set (0.00 sec)    ---空表，因为是新库，还没有建立表

在库外面查看库里的表信息：

mysql> show tables from oldboy;    ---查看指定库oldboy中包含的表
Empty set (0.00 sec)
mysql> show tables in oldboy_gbk;
Empty set (0.00 sec)
mysql> show tables from mysql like 'db%';    ---还可以匹配包含指定字符开头的表
+-----------------------+
| Tables_in_mysql (db%) |
+-----------------------+
| db                    |
+-----------------------+
1 row in set (0.00 sec)

5、删除数据库

mysql> drop database oldboy_gbk;
Query OK, 0 rows affected (0.06 sec)
mysql> show databases like 'oldboy_gbk';
Empty set (0.00 sec)

2. DDL&&DCL语句之管理用户

1、查看当前数据库用户列表：

mysql> select user,host from mysql.user;
+--------+-----------+
| user   | host      |
+--------+-----------+
| root   | 127.0.0.1 |
| root   | localhost |
| system | localhost |
+--------+-----------+
3 rows in set (0.00 sec)

select表示查询，user和host为要查找的mysql表的字段，from表示去哪查，mysql.user是mysql库里的user表

2、创建数据库用户

mysql> create user blog@localhost identified by 'oldboy123';
Query OK, 0 rows affected (0.00 sec)
mysql> select user,host from mysql.user;
+--------+-----------+
| user   | host      |
+--------+-----------+
| root   | 127.0.0.1 |
| blog   | localhost |    ---创建成功
| root   | localhost |
| system | localhost |
+--------+-----------+
4 rows in set (0.00 sec)

企业里创建用户一般是授权一个内网网段登录，最常见的网段写法有两种。
方法1：172.16.1.%（%为通配符，匹配所有的内容）
方法2：172.16.1.0/255.255.255.0，但是不能使用172.16.1.0/24
创建一个用户bbs，授权192.168.1.0/24网段内机器访问：

mysql> create user bbs@'192.168.1.%' identified by 'bbs123';
Query OK, 0 rows affected (0.00 sec)
mysql> select user,host from mysql.user where user='bbs';
+------+-------------+
| user | host        |
+------+-------------+
| bbs  | 192.168.1.% |
+------+-------------+
1 row in set (0.00 sec)

登录测试：

[root@oldboy ~]# mysql -ublog -poldboy123
[root@oldboy ~]# mysql -ubbs -pbbs123 -h 192.168.1.115    ---异地或本机登录bbs用户必须制定IP

使用create创建的用户仅仅是空用户，即除了可以连接数据库之外，其没有任何数据库权限，有关用户授权还必须要使用grant命令。而grant命令可以同时完成创建用户和授权两种操作，因此，一般都使用grant代替create来创建用户。

3、删除数据库用户

mysql> select user,host from mysql.user where user='blog';
+------+-----------+
| user | host      |
+------+-----------+
| blog | localhost |
+------+-----------+
1 row in set (0.00 sec)
mysql> drop user 'blog'@'localhost';
Query OK, 0 rows affected (0.00 sec)
mysql> select user,host from mysql.user where user='blog';
Empty set (0.00 sec)    ---删除成功
mysql> flush privileges;    ---使得处理用户后，对数据库生效，一般有数据库改动的情况，最好执行这个固定命令
Query OK, 0 rows affected (0.00 sec)

如果使用drop删除不了用户，很可能是因为用户或主机部分是特殊字段或大写内容等，可以用下面的方式删除：

mysql> select user,host from mysql.user where user='bbs';
+------+-------------+
| user | host        |
+------+-------------+
| bbs  | 192.168.1.% |
+------+-------------+
1 row in set (0.00 sec)
mysql> delete from mysql.user where user='bbs' and host='192.168.1.%';
Query OK, 1 row affected (0.07 sec)
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
mysql> select user,host from mysql.user where user='bbs';
Empty set (0.00 sec)

4、授权数据库用户

示例1：创建test用户，对oldboy库具有所有权限，允许从localhost主机登录管理数据库，密码是test123

mysql> grant all privileges on oldboy.* to test@localhost identified by 'test123';
Query OK, 0 rows affected (0.00 sec)
mysql> select user,host from mysql.user where user='test';
+------+-----------+
| user | host      |
+------+-----------+
| test | localhost |    ---创建成功
+------+-----------+
1 row in set (0.00 sec)
mysql> show grants for 'test'@'localhost';    ---查看test用户权限
+-------------------------------------------------------------------------------------------------------------+
| Grants for test@localhost                                                                                   |
+-------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'test'@'localhost' IDENTIFIED BY PASSWORD '*676243218923905CF94CB52A3C9D3EB30CE8E20D' |
| GRANT ALL PRIVILEGES ON `oldboy`.* TO 'test'@'localhost'                                                    |
+-------------------------------------------------------------------------------------------------------------+
2 rows in set (0.01 sec)

示例2：
授权与root同等地位的system用户权限，创建完成可以选择删除原来的root用户

mysql> show grants for root@localhost;    ---查看root用户的权限
+----------------------------------------------------------------------------------------------------------------------------------------+
| Grants for root@localhost                                                                                                              |
+----------------------------------------------------------------------------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' IDENTIFIED BY PASSWORD '*FE28814B4A8B3309DAC6ED7D3237ADED6DA1E515' WITH GRANT OPTION |
| GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION                                                                           |
+----------------------------------------------------------------------------------------------------------------------------------------+
2 rows in set (0.05 sec)

mysql> grant all on *.* to system@'localhost' identified by 'system123' with grant option;
Query OK, 0 rows affected (0.15 sec)
mysql> GRANT PROXY ON ''@'' TO 'system'@'localhost' WITH GRANT OPTION;    ---允许创建代理用户，注意，如果之前在my.cnf设置了登录帐号密码，上一步操作会修改掉my.cnf的帐号，然后这一步会报错，需要去my.cnf改回root账户再执行才能成功
Query OK, 0 rows affected (0.15 sec)
mysql> show grants for system@localhost;
+------------------------------------------------------------------------------------------------------------------------------------------+
| Grants for system@localhost                                                                                                              |
+------------------------------------------------------------------------------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'system'@'localhost' IDENTIFIED BY PASSWORD '*87C0B9109E34C30E15316C528EC1F15C71E45D7A' WITH GRANT OPTION |
| GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION                                                                           |
+------------------------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)

若是要授权局域网内的主机远程连接数据库，根据grant命令的语法，我们知道test@'localhost'位置为授权访问数据库的用户和主机，其中localhost可以用域名、IP地址或IP段来替代，因此，要授权局域网内的主机可以通过如下方法来实现。
第一种方法：一条命令+百分号的匹配法示例如下：

mysql> grant all on *.* to test@'192.168.9.%' identified by 'test123';
Query OK, 0 rows affected (0.00 sec)

第二种方法：一条命令+子网掩码的配置法，示例如下：

mysql> grant all on *.* to test@'192.168.9.0/255.255.255.0' identified by 'test123';
Query OK, 0 rows affected (0.00 sec)

注意：要记得对上述每条grant命令最好都刷新权限（即使添加用户不需要，养成良好的一致性操作习惯很重要）

mysql> flush privileges;
Query OK, 0 rows affected (0.03 sec)

5、企业中grant授权权限问题说明

（1）企业里主数据库用户的授权问题说明
在企业生产环境中，如果是以Web形式连接数据库的用户，那么尽量不要授予all权限，最好是分拆授权，比如，授予select、insert、update、delete等适合Web使用的DML语句关键字权限。下面示例中授予的权限就比较规范合理，当然，对于不同的企业，要具体问题具体分析。

grant select,insert,update,delete on oldboy.* to test@'192.168.9.%' identified by 'test123';

注意：授予用户权限时有如下3条安全红线不要轻易跨过

• 权限不能用all，而应用select、insert、update、delete等具体权限
• 库不能用.，而应用“oldboy.*”格式具体到库
• 主机不能用%，而应用内网IP段，即'192.168.9.%'格式

PHP程序语言连接MySQL的简易程序代码如下：

<?php
        //$link_id=mysql_connect('数据库主机名'，'用户','密码')；
        $link_id=mysql_connect('192.168.9.115','test','test123') or mysql_error();
        if($link_id){
                echo "mysql successful by oldboy!";
        }else{
                echo mysql_error();
        }
?>

（2）博客、CMS、BBS等产品的数据库授权
前面说过，采用Web形式连接数据库的用户应尽量采用最小化原则进行授权，但是很多开源软件都是通过Web界面安装的，因此，在安装期间除了select、insert、update、delete这4个权限之外，有可能还需要create、drop等比较危险的权限。针对这种情况，需要建库、建表，授权例子如下：

mysql> grant select,insert,update,delete,create,drop on blog.* to 'blog'@'192.168.9.%' identified by 'blog123';
Query OK, 0 rows affected (0.04 sec)

生成数据库、表后，可以使用revoke命令收回create、drop授权：

mysql> revoke create,drop on blog.* from 'blog'@'192.168.9.%';    ---一定要输入正确，否则会收不回来
Query OK, 0 rows affected (0.00 sec)
mysql> show grants for blog@'192.168.9.%';
+---------------------------------------------------------------------------------------------------------------+
| Grants for blog@192.168.9.%                                                                                   |
+---------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'blog'@'192.168.9.%' IDENTIFIED BY PASSWORD '*D6D67F3D1547519E29B7193DD019E55571BD09CA' |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `blog`.* TO 'blog'@'192.168.9.%'                                      |
+---------------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)

（3）生产环境针对主库（写为主读为辅）用户的授权策略
如果是单机，即Web或应用程序和数据库在一台电脑上的数据库授权，则可以采用如下命令：

GRANT all privileges ON `blog`.* TO 'blog'@'localhost' identified by 'blog123';

如果应用程序服务器和数据库服务器不在一个主机上，则授权命令如下：

GRANT all privileges ON `blog`.* TO 'blog'@'192.168.9.%' identified by 'oldboy456';

由于工作中异机环境比较多，因此下面都是针对异机进行说明的。
下面的命令为严格授权，使用该命令虽然重视了安全，但却忽略了方便

GRANT SELECT,INSERT,UPDATE,DELETE ON `blog`.* TO 'blog'@'192.168.9.%' identified by 'blog123';

（4）生产环境从库（只读）用户的授权
授权命令如下：

GRANT SELECT ON `blog`.* TO 'blog'@'192.168.9.%' identified by 'blog123';

这里表示为192.168.9.0/24的用户blog授予管理blog数据库中所有表（*表示所有表）的只读权限（SELECT），密码为blog123。
（5）生产环境主从库高级授权策略
针对这种情况，有两种授权形式，具体如下：
第一种，使用简单方法

使用简单方法

第二种，配置简单方法

配置简单方法

显然，第一种方法是最专业的，第二种方法给开发者的感觉是有多个用户，不专业。
（6）生产场景下的具体授权
主库授权的命令为：

GRANT SELECT,INSERT,UPDATE,DELETE ON `blog`.* TO 'blog'@'192.168.9.%' identified by 'blog123';

从库授权用户的命令为：

GRANT SELECT ON `blog`.* TO 'blog'@'192.168.9.%' identified by 'blog123';

当然，从库除了做SELECT授权之外，还可以加read-only等只读参数，严格控制Web用户写从库。
（7）生产场景下，主从库读写分离授权难点与解决方案
若主从库的mysql库和表是同步的，则会无法针对同一个用户授权不同的权限。主库授权后会自动同步到从库上，导致从库的授权只读失败。
解决方法有如下几点：

• 取消数据库中mysql库的同步功能
• 授权主库权限后，从库执行收回增删改权限，只保留查的权限
• 不在授权上控制增删改，而是用read-only参数控制普通用户更新从库。注意，read-only参数对超级用户无效

（8）授权不规范导致的生产血案
运维人员授权用户all权限，导致开发人员通过该用户自行修改了表结构（字段），造成服务出问题，最后黑锅甩在了运维人员身上。
运维人员排查了半天也没有结果，终于在对比表结构（对比生产数据和备份的数据）的时候发现了问题，最后告诉开发人员，把字段改回去，服务就好了。
启发：生产场景下尽量不要给开发人员select以外的权限，对于网站的连接帐号，不要授予select、insert、delete、update以外的权限。对别人的“仁慈”，就是对自己的岗位和公司最大的“背叛”。