《MySQL管理员指南》之一----MySQL安全性指南



作为一个MySQL的系统管理员，你有责任维护你的MySQL数据库系统的数据安全性和完整性。本文主要主要介绍如何建立一个安全的MySQL系统，从系统内部和外部网络两个角度，为你提供一个指南。

本文主要考虑下列安全性有关的问题：

为什么安全性很重要，你应该防范那些攻击？
服务器面临的风险（内部安全性），如何处理？
连接服务器的客户端风险（外部安全性），如何处理？
MySQL管理员有责任保证数据库内容的安全性，使得这些数据记录只能被那些正确授权的用户访问，这涉及到数据库系统的内部安全性和外部安全性。

内部安全性关心的是文件系统级的问题，即，防止MySQL数据目录（DATADIR）被在服务器主机有账号的人（合法或窃取的）进行攻击。如果数据目录内容的权限过分授予，使得每个人均能简单地替代对应于那些数据库表的文件，那么确保控制客户通过网络访问的授权表设置正确，对此毫无意义。

外部安全性关心的是从外部通过网络连接服务器的客户的问题，即，保护MySQL服务器免受来自通过网络对服务器的连接的攻击。你必须设置MySQL授权表（grant table），使得他们不允许访问服务器管理的数据库内容，除非提供有效的用户名和口令。

下面就详细介绍如何设置文件系统和授权表mysql，实现MySQL的两级安全性。

一、内部安全性-保证数据目录访问的安全


二、外部安全性-保证网络访问的安全

附录1 小测验

附录2 使一个新的MySQL安装更安全

一、内部安全性-保证数据目录访问的安全



MySQL服务器通过在MySQL数据库中的授权表提供了一个灵活的权限系统。你可以设置这些表的内容，允许或拒绝客户对数据库的访问，这提供了你防止未授权的网络访问对你数据库攻击的安全手段，然而如果主机上其他用户能直接访问数据目录内容，建立对通过网络访问数据库的良好安全性对你毫无帮助，除非你知道你是登录MySQL服务器运行主机的唯一用户，否则你需要关心在这台机器上的其他用户获得对数据目录的访问的可能性。

以下是你应该保护的内容：

数据库文件。很明显，你要维护服务器管理的数据库的私用性。数据库拥有者通常并且应该考虑数据库内容的安全性，即使他们不想，也应该考虑时数据库内容公开化，而不是通过糟糕的数据目录的安全性来暴露这些内容。
日志文件。一般和更新日志必须保证安全，因为他们包含查询文本。对日志文件有访问权限的任何人可以监视数据库进行过的操作。
更要重点考虑的日志文件安全性是诸如GRANT和SET PASSWORD等的查询也被记载了，一般和更新日志包含有敏感查询的文本，包括口令（MySQL使用口令加密，但它在已经完成设置后才运用于以后的连接建立。设置一个口令的过程设计象GRANT或SET PASSWORD等查询，并且这些查询以普通文本形式记载在日志文件中）。如果一个攻击者犹如日文件的读权限，只需在日志文件上运行grep寻找诸如GRANT和PASSWORD等词来发现敏感信息。
显然，你不想让服务器主机上的其他用户有数据库目录文件的写权限，因为他们可以重写你的状态文件或数据库表文件，但是读权限也很危险。如果一个数据库表文件能被读取，偷取文件并得到MySQL本身，以普通文本显示表的内容也很麻烦，为什么？因为你要做下列事情：

在服务器主机上安装你自己“特制”的MySQL服务器，但是有一个不同于官方服务器版本的端口、套接字和数据目录。
运行mysql_install_db初始化你的数据目录，这赋予你作为MySQL root用户访问你的服务器的权限，所以你有对服务器访问机制的完全控制，它也建立一个test数据库。
将对应于你想偷取得表文件拷贝到你服务器的数据库目录下的test目录。
启动你的服务器。你可以随意访问数据库表，SHOW TABLES FROM test显示你有一个偷来的表的拷贝，SELECT *显示它们任何一个的全部内容。
如果你确实很恶毒，将权限公开给你服务器的任何匿名用户，这样任何人能从任何地方连接服务器访问你的test数据库。你现在将偷来的数据库表公布于众了。
在考虑一下，从相反的角度，你想让别人对你这样吗？当然不！你可以通过在数据库录下执行ls -l命令确定你的数据库是否包含不安全的文件和目录。查找有“组”和“其他用户”权限设置的文件和目录。下面是一个不安全数据目录的一部分列出：

　
% ls -l
total 10148
drwxrwxr-x 11 mysqladm wheel 1024 May 8 12:20 .
drwxr-xr-x 22 root wheel 512 May 8 13:31 ..
drwx------ 2 mysqladm mysqlgrp 512 Apr 16 15:57 menagerie
drwxrwxr-x 2 mysqladm wheel 512 Jan 25 20:40 mysql
drwxrwxr-x 7 mysqladm wheel 512 Aug 31 1998 sql-bench
drwxrwxr-x 2 mysqladm wheel 1536 May 6 06:11 test
drwx------ 2 mysqladm mysqlgrp 1024 May 8 18:43 tmp
....


正如你看到的，有些数据库有正确的权限，而其他不是。本例的情形是经过一段时间后的结果。较少限制的权限由在权限设置方面比更新版本更不严格的较早版本服务器设置的（注意更具限制的目录menageria和tmp都有较近日期）。MySQL当前版本确保这些文件只能由运行服务器的用户读取。

让我们来修正这些权限，使得只用服务器用户可访问它们。你的主要保护工具来自于由UNIX文件系统本身提供的设置文件和目录属主和模式的工具。下面是我们要做的：

进入该目录
% cd DATADIR

设置所有在数据目录下的文件属主为由用于运行服务器的账号拥有（你必须以root执行这步）。在本文使用mysqladm和mysqlgrp作为该账号的用户名和组名。你可以使用下列命令之一改变属主：
# chown mysqladm.mysqlgrp .

# find . -follow -type d -print | xargs chown mysqladm.mysqlgrp

设置你的数据目录和数据库目录的模式使得他们只能由mysqladm读取，这阻止其他用户访问你数据库目录的内容。你可以用下列命令之一以root或mysqladm身份运行。
% chmod -R go-rwx .

% find . -follow -type d -print | xargs chmod go-rwx

数据目录内容的属主和模式为mysqladm设置。现在你应该保证你总是以mysqladm用户运行服务器，因为现在这是唯一由访问数据库目录权限的用户（除root）。
在完成这些设置后，你最终应该得到下面的数据目录权限：

% ls -l
total 10148
drwxrwx--- 11 mysqladm mysqlgrp 1024 May 8 12:20 .
drwxr-xr-x 22 root wheel 512 May 8 13:31 ..
drwx------ 2 mysqladm mysqlgrp 512 Apr 16 15:57 menagerie
drwx------ 2 mysqladm mysqlgrp 512 Jan 25 20:40 mysql
drwx------ 7 mysqladm mysqlgrp 512 Aug 31 1998 sql-bench
drwx------ 2 mysqladm mysqlgrp 1536 May 6 06:11 test
drwx------ 2 mysqladm mysqlgrp 1024 May 8 18:43 tmp
....




　　摘自《晏子工作室》　晏子/文

2 外部安全性-保证网络访问的安全



MySQL的安全系统是很灵活的，它允许你以多种不同方式设置用户权限。一般地，你可使用标准的SQL语句GRANT和REVOKE语句做，他们为你修改控制客户访问的授权表，然而，你可能由一个不支持这些语句的老版本的MySQL（在3.22.11之前这些语句不起作用），或者你发觉用户权限看起来不是以你想要的方式工作。对于这种情况，了解MySQL授权表的结构和服务器如何利用它们决定访问权限是有帮助的，这样的了解允许你通过直接修改授权表增加、删除或修改用户权限，它也允许你在检查这些表时诊断权限问题。

关于如何管理用户账号，见《MySQL的用户管理》。而对GRANT和REVOKE语句详细描述，见《MySQL参考手册》。

2.1 MySQL授权表的结构和内容
通过网络连接服务器的客户对MySQL数据库的访问由授权表内容来控制。这些表位于mysql数据库中，并在第一次安装MySQL的过程中初始化（运行mysql_install_db脚本）。授权表共有5个表：user、db、host、tables_priv和columns_priv。

表1 user、db和host授权表结构
访问范围列

user db host
Host Host Host
User Db Db
Password User
数据库/表权限列
Alter_priv Alter_priv Alter_priv
Create_priv Create_priv Create_priv
Delete_priv Delete_priv Delete_priv
Drop_priv Drop_priv Drop_priv
Index_priv Index_priv Index_priv
Insert_priv Insert_priv Insert_priv
References_priv References_priv References_priv
Select_priv Select_priv Select_priv
Update_priv Update_priv Update_priv
File_priv Grant_priv Grant_priv
Grant_priv   
Process_priv   
Reload_priv   
Shutdown_priv   
　
表2 tables_priv和columns_priv属权表结构

访问范围列
tables_priv columns_priv
Host Host
Db Db
User User
Table_name Table_name
Column_name   
权限列
Table_priv Column_priv

授权表的内容有如下用途：

user表
user表列出可以连接服务器的用户及其口令，并且它指定他们有哪种全局（超级用户）权限。在user表启用的任何权限均是全局权限，并适用于所有数据库。例如，如果你启用了DELETE权限，在这里列出的用户可以从任何表中删除记录，所以在你这样做之前要认真考虑。
db表
db表列出数据库，而用户有权限访问它们。在这里指定的权限适用于一个数据库中的所有表。
host表
host表与db表结合使用在一个较好层次上控制特定主机对数据库的访问权限，这可能比单独使用db好些。这个表不受GRANT和REVOKE语句的影响，所以，你可能发觉你根本不是用它。
tables_priv表
tables_priv表指定表级权限，在这里指定的一个权限适用于一个表的所有列。
columns_priv表
columns_priv表指定列级权限。这里指定的权限适用于一个表的特定列。
在“不用GRANT设置用户”一节里，我们再讨论GRANT语句如何对修改这些表起作用，和你怎样能通过直接修改授权表达到同样的效果。

tables_priv和columns_priv表在MySQL 3.22.11版引进（与GRANT语句同时）。如果你有较早版本的MySQL，你的mysql数据库将只有user、db和host表。如果你从老版本升级到3.22.11或更新，而没有tables_priv和columns_priv表，运行mysql_fix_privileges_tables脚本创建它们。

MySQL没有rows_priv表，因为它不提供记录级权限，例如，你不能限制用户于表中包含特定列值的行。如果你确实需要这种能力，你必须用应用编程来提供。如果你想执行建议的记录级锁定，你可用GET_LOCK()函数做到。

授权表包含两种列：决定一个权限何时运用的范围列和决定授予哪种权限的权限列。

2.1.1 授权表范围列
授权表范围列指定表中的权限何时运用。每个授权表条目包含User和Host列来指定权限何时运用于一个给定用户从给定主机的连接。其他表包含附加的范围列，如db表包含一个Db列指出权限运用于哪个数据库。类似地，tables_priv和columns_priv表包含范围字段，缩小范围到一个数据库中的特定表或一个表的特定列。

2.1.2 授权表权限列
授权表还包含权限列，他们指出在范围列中指定的用户拥有何种权限。由MySQL支持的权限如下表所示。该表使用GRANT语句的权限名称。对于绝大多数在user、db和host表中的权限列的名称与GRANT语句中有明显的联系。如Select_priv对应于SELECT权限。

2.1.3 数据库和表权限
下列权限运用于数据库和表上的操作。

ALTER
允许你使用ALTER TABLE语句，这其实是一个简单的第一级权限，你必须由其他权限，这看你想对数据库实施什么操作。
CREATE
允许你创建数据库和表，但不允许创建索引。
DELETE
允许你从表中删除现有记录。
DROP
允许你删除（抛弃）数据库和表，但不允许删除索引。
INDEX
允许你创建并删除索引。
REFERENCES
目前不用。
SELECT
允许你使用SELECT语句从表中检索数据。对不涉及表的SELECT语句就不必要，如SELECT NOW()或SELECT 4/2。
UPDATE
允许你修改表中的已有的记录。
2.1.4 管理权限
下列权限运用于控制服务器或用户授权能力的操作的管理性操作。

FILE
允许你告诉服务器读或写服务器主机上的文件。该权限不应该随便授予，它很危险，见“回避授权表风险”。服务器确实较谨慎地保持在一定范围内使用该权限。你只能读任何人都能读的文件。你正在写的文件必须不是现存的文件，这防止你迫使服务器重写重要文件，如/etc/passwd或属于别人的数据库的数据目录。
如果你授权FILE权限，确保你不以UNIX的root用户运行服务器，因为root可在文件系统的任何地方创建新文件。如果你以一个非特权用户运行服务器，服务器只能在给用户能访问的目录中创建文件。

GRANT
允许你将你自己的权限授予别人，包括GRANT。
PROCESS
允许你通过使用SHOW PROCESS语句或mysqladmin process命令查看服务器内正在运行的线程（进程）的信息。这个权限也允许你用KILL语句或mysqladmin kill命令杀死线程。
你总是能看到或杀死你自己的线程。PROCESS权限赋予你对任何线程做这些事情的能力。

RELOAD
允许你执行大量的服务器管理操作。你可以发出FLUSH语句，你也能指性mysqladmin的reload、refresh、flush-hosts、flush-logs、flush-privileges和flush-tables等命令。
SHUTDOWN
允许你用mysqladmin shutdown关闭服务器。
在user、db和host表中，每一个权限以一个单独的列指定。这些列全部声明为一个ENUM("N","Y")类型，所以每个权的缺省值是“N”。在tables_priv和columns_priv中的权限以一个SET表示，它允许权限用一个单个列以任何组合指定。这两个表比其他三个表更新，这就是为什么它们使用更有效的表示方式的原因。（有可能在未来，user、db和host表也用一个SET类型表示。）

在tables_priv表中的Table_priv列被定义成：

SET('Select','Insert','Update','Delete','Create','Drop','Grant','References','Index','Alter')
在coloums_priv表中的Column_priv列被定义成：　

SET('Select','Insert','Update','References')
列权限比表权限少，因为列级较少的权限有意义。例如你能创建一个表，但你不能创建一个孤立的列。

user表包含某些在其他授权表不存在的权限的列：File_priv、Process_priv、Reload_priv和Shutdown_priv。这些权限运用于你让服务器执行的与任何特定数据库或表不相关的操作。如允许一个用户根据当前数据库是什么来关闭数据库是毫无意义的。

2.2 服务器如何控制客户访问
在你使用MySQL时，客户访问控制有两个阶段。第一阶段发生在你试图连接服务器时。服务器查找user表看它是否能找到一个条目匹配你的名字、你正在从那儿连接的主机和你提供的口令。如果没有匹配，你就不能连接。如果有一个匹配，建立连接并继续第二阶段。在这个阶段，对于每一个你发出的查询，服务器检查授权表看你是否有足够的权限执行查询，第二阶段持续到你与服务器对话的结束。

本小节详细介绍MySQL服务器用于将授权表条目匹配到来的连接请求或查询的原则，这包括在授权表范围列中合法的值的类型、结合授权表中的权限信息的方式和表中条目被检查的次序。

2.2.1 范围列内容
一些范围列要求文字值，但它们大多数允许通配符或其他特殊值。

Host
一个Host列值可以是一个主机名或一个IP地址。值localhost意味着本地主机，但它只在你用一个localhost主机名时才匹配，而不是你在使用主机名时。假如你的本地主机名是pit.snake.net并且在user表中有对你的两条记录，一个有一个Host值或localhost，而另一个有pit.snake.net，有localhost的记录将只当你连接localhost时匹配，其他在只在连接pit.snake.net时才匹配。如果你想让客户能以两种方式连接，你需要在user表中有两条记录。

你也可以用通配符指定Host值。可以使用SQL的模式字符“%”和“_”并具有当你在一个查询中使用LIKE算符同样的含义（不允许regex算符）。 SQL模式字符都能用于主机名和IP地址。如%wisc.edu匹配任何wisc.edu域内的主机，而%.edu匹配任何教育学院的主机。类似地，192.168.%匹配任何在192.168 B类子网的主机，而192.168.3.%匹配任何在192.168.3 C类子网的主机。

%值匹配所有主机，并可用于允许一个用户从任何地方连接。一个空白的Host值等同于%。（例外：在db表中，一个空白Host值含义是“进一步检查host表”，该过程在“查询访问验证”中介绍。）

从MySQL 3.23起，你也可以指定带一个表明那些为用于网络地址的网络掩码的IP地址，如192.168.128.0/17指定一个17位网络地址并匹配其IP地址是192.168.128前17位的任何主机。

User
用户名必须是文字的或空白。一个空白值匹配任何用户。%作为一个User值不意味着空白，相反它匹配一个字面上的%名字，这可能不是你想要的。

当一个到来的连接通过user表被验证而匹配的记录包含一个空白的User值，客户被认为是一个匿名用户。

Password
口令值可以是空或非空，不允许用通配符。一个空口令不意味着匹配任何口令，它意味着用户必须不指定口令。

口令以一个加密过的值存储，不是一个字面上的文本。如果你在Password列中存储一个照字面上的口令，用户将不能连接！GRANT语句和mysqladmin password命令为你自动加密口令，但是如果你用诸如INSERT、REPLACE、UPDATE或SET PASSWORD等命令，一定要用PASSWORD("new_password")而不是简单的"new_password"来指定口令。

Db
在columns_priv和tables_priv表中，Db值必须是真正的数据库名（照字面上），不允许模式和空白。在db和host中，Db值可以以字面意义指定或使用SQL模式字符'%'或'_'指定一个通配符。一个'%'或空白匹配任何数据库。
Table_name，Column_name
这些列中的值必须是照字面意思的表或列名，不允许模式和空白。
某些范围列被服务器视为大小写敏感的，其余不是。这些原则总结在下表中。特别注意Table_name值总是被看作大小写敏感的，即使在查询中的表名的大小写敏感性对待视服务器运行的主机的文件系统而定（UNIX下是大小写敏感，而Windows不是）。

表3 授权表范围列的大小写敏感性
列
Host
User
Password
Db
Table_name
Column_name
大小写敏感性
No
Yes
Yes
Yes
Yes
No

2.2.2 查询访问验证
每次你发出一个查询，服务器检查你是否有足够的权限执行它，它以user、db、tables_priv和columns_priv的顺序检查，知道它确定你有适当的访问权限或已搜索所有表而一无所获。更具体的说：

服务器检查user表匹配你开始连接的记录以查看你有什么全局权限。如果你有并且它们对查询足够了，服务器则执行它。
如果你的全局权限不够，服务器为你在db表中寻找并将该记录中的权限加到你的全局权限中。如果结果对查询足够，服务器执行它。
如果你的全局和数据库级组合的权限不够，服务器继续查找，首先在tables_priv表，然后columns_priv表。
如果你在检查了所有表之后仍无权限，服务器拒绝你执行查询的企图。
用布尔运算的术语，授权表中的权限被服务器这样使用：

user OR tables_priv OR columns_priv

你可能疑惑为什么前面的描述只引用4个授权表，而实际上有5个。实际上服务器是这样检查访问权限：

user OR (db AND host) OR tables_priv OR columns_priv

第一个较简单的表达式是因为host表不受GRANT和REVOKE语句影响。如果你总是用GRANT和REVOKE管理用户权限，你绝不需要考虑host表。但是其工作原理你用该知道：

当服务器检查数据库级权限时，它对于客户查找db表。如果Host列是空的，它意味着“检查host表以找出哪一个主机能访问数据库”。
服务器在host表中查找有与来自db表的记录相同的Db列值。如果没有host记录匹配客户主机，则没有授予数据库级权限。如果这些记录的任何一个的确有一个匹配连接的客户主机的Host列值，db表记录和host表记录结合产生客户的数据库级权限。
然而，权限用一个逻辑AND（与）结合起来，这意味着除非一个给定的权限在两个表中都有，否则客户就不具备该权限。以这种方式，你可以在db表中授予一个基本的权限集，然后使用host表对特定的主机有选择地禁用它们。如你可以允许从你的域中的所有主机访问数据库，但关闭了那些在较不安全区域的主机的数据库权限。

前面的描述毫无疑问使访问检查听起来一个相当复杂的过程，特别是你以为服务器对你发出的每个查询进行权限检查，然而此过程是很快的，因为服务器其实不从授权表对每个查询查找信息，相反，它在启动时将表的内容读入内存，然后验证查询用的是内存中的副本。这大大提高了访问检查操作的性能。但有一个非常明显的副作用。如果你直接修改授权表的内容，服务器将不知道权限的改变。

例如，如果你用一条INSERT语句向user表加入一个新记录来增加一个新用户，命名在记录中的用户将不能连接服务器。这对管理员新手（有时对有经验的老手）是很困惑的事情，当时解决方法很简单：在你改变了它们之后告诉服务器重载授权表内容，你可以发一条FLUSH PRIVILEGES或执行mysqladmin flush-privileges（或如果你有一个不支持flush-privileges的老版本，用mysqladmin reload。）。

2.2.3 范围列匹配顺序
MySQL服务器按一种特定方式排序符授权表中的记录，然后通过按序浏览记录匹配到来的连接。找到的第一个匹配决定了被使用的记录。理解MySQL使用的排序顺序很重要，特别是对user表。

当服务器读取user表内容时，它根据在Host和User列中的值排序记录，Host值起决定作用（相同的Host值排在一起，然后再根据User值排序）。然而，排序不是典序（按词排序），它只是部分是。要牢记的是字面上的词优先于模式。这意味着如果你正从client.your.net连接服务器而Host有client.your.net和%.your.net两个值，则第一个先选。类似地，%.your.net优先于%.net，然后是%。IP地址的匹配也是这样的。

总之一句话，越具体越优先。可以参见本文附录的实例。

2.3 避免授权表风险
本届介绍一些在你授权时的一些预防措施，以及不明值的选择带来的风险。一般地，你要很“吝啬”地授予超级用户权限，即不要启用user表中条目中的权限，而使用其它授权表，以将用户权限限制于数据库、表、或列。在user表中的权限允许于影响到你的服务器操作或能访问任何数据库中的任何表。

不要授予对mysql数据库的权限。一个拥有包含授权表数据库权限的用户可能会修改表以获取对其他任何数据库的权限。授予允许一个用户修改mysql数据库表的权限也实际上给了用户以一个全局GRANT权限。如果用户能直接修改表，这也等价于能够发出任何你能想象的任何GRANT语句。

FILE权限尤其危险，不要轻易授权它。以下是一个拥有FILE权限的人能干除的事情：

  CREATE TABLE etc_passwd (pwd_entry TEXT);
  LOAD DATA INFILE "/etc/passwd" into TABLE etc_passwd;
  SELECT * FROM etc_passwd;

在发出这些语句后，用户已经拥有了你的口令文件的内容了。实际上，服务器上任何公开可读文件的内容都可被拥有FILE权限的用户通过网络访问。

FILE权限也能被利用来危害没有设置足够权限制的文件权限的系统上的数据库。这就是你为什么应该设置数据目录只能由服务器读取的原因。如果对应于数据库表的文件可被任何人读取，不只是用户服务器账号的用户可读，任何有FILE权限的用户也可通过网络连接并读取它们。下面演示这个过程：

创建一个有一个LONGBLOB列的表：
USER test;
CREATE TABLE tmp (b LONGBLOB);

使用该表读取每个对应于你想偷取的数据库表文件的内容，然后将表内容写入你自己数据库的一个文件中：

LOAD DATA INFILE "./other_db/x.frm" INTO TABLE tmp
  FIELDS ESCAPED BY "" LINES TERMINATED BY "";
SELECT * FROM tmp INTO OUTFILE "y.frm"
  FIELDS ESCAPED BY "" LINES TERMINATED BY "";
DELETE FROM tmp;
LOAD DATA INFILE "./other_db/x.ISD" INTO TABLE tmp
  FIELDS ESCAPED BY "" LINES TERMINATED BY "";
SELECT * FROM tmp INTO OUTFILE "y.ISD"
  FIELDS ESCAPED BY "" LINES TERMINATED BY "";
DELETE FROM tmp;
LOAD DATA INFILE "./other_db/x.ISM" INTO TABLE tmp
  FIELDS ESCAPED BY "" LINES TERMINATED BY "";
SELECT * FROM tmp INTO OUTFILE "y.ISM"
现在你拥有了一个新表y，它包含other_db.x的内容并且你有全权访问它。
为避免让人以同样的方式攻击，根据“1 内部安全性-保护你的数据目录”中的指令设置你的数据目录上的权限。你也可以在你启动服务器时使用--skip-show-database选项限制用户对于他们没用访问权限的数据库使用SHOW DATABASES和SHOW TABLES。这有助于防止用户找到关于它们不能访问的数据库和表的信息。

ALTER权限能以不希望的方式使用。假定你想让user1可以访问table1但不能访问tables2。一个拥有ALTER权限的用户可以通过使用ALTER TABLE将table2改名为table1来偷梁换柱。

当心GRANT权限。两个由不同权限但都有GRANT权限的用户可以使彼此的权利更强大。

2.4 不用GRANT设置用户
如果你有一个早于3.22.11的MySQL版本，你不能使用GRANT（或REVOKE）语句设置用户及其访问权限，但你可以直接修改授权表的内容。如果你理解GRANT语句如何修改授权表，这很容易。那么你通过手工发出INSERT语句就能自己做同样的事情。

当你发出一条GRANT语句时，你指定一个用户名和主机名，可能还有口令。对该用户生成一个user表记录，并且这些值记录在User、Host和Password列中。如果你在GRANT语句中指定全局权限，这些权限记录在记录的权限列中。其中要留神的是GRANT语句为你加密口令，而INSERT不是，你需要在INSERT中使用PASSWORD()函数加密口令。

如果你指定数据库级权限，用户名和主机名被记录在db表的User和Host列。你为其授权的数据库记录在Db列中，你授予的权限记录在权限列中。

对于表级和列级权限，效果是类似的。在tables_priv和columns_priv表中创建记录以记录用户名、主机名和数据库，还有相关的表和列。授予的权限记录在权限列中。

如果你还记得前面的介绍，你应该能即使不用GRANT语句也能做GRANT做的事情。记住在你直接修改授权表时，你将通知服务器重载授权表，否则他不知道你的改变。你可以执行一个mysqladmin flush-privileges或mysqladmin reload命令强迫一个重载。如果你忘记做这个，你会疑惑为什么服务器不做你想做的事情。

下列GRANT语句创建一个拥有所有权的超级用户。包括授权给别人的能力：

GRANT ALL ON *.* TO anyname@localhost IDENTIFIED BY "passwd"
  WITH GRANT OPTION
该语句将在user表中为anyname@localhost创建一个记录，打开所有权限，因为这里是超级用户（全局）权限存储的地方，要用INSERT语句做同样的事情，语句是：

INSERT INTO user VALUES("localhost","anyname",PASSWORD("passwd"),
  "Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y","Y")
你可能发现它不工作，这要看你的MySQL版本。授权表的结构已经改变而且你在你的user表可能没有14个权限列。用SHOW COLUMNS找出你的授权表包含的每个权限列，相应地调整你的INSERT语句。 下列GRANT语句也创建一个拥有超级用户身份的用户，但是只有一个单个的权限：

GRANT RELOAD ON *.* TO flush@localhost IDENTIFIED BY "flushpass"
本例的INSERT语句比前一个简单，它很容易列出列名并只指定一个权限列。所有其它列将设置为缺省的"N"：

INSERT INTO user (Host,Password,Reload) VALUES("localhost","flush",PASSWORD("flushpass"),"Y")
数据库级权限用一个ON db_name.*子句而不是ON *.*进行授权：

GRANT ALL ON sample.* TO boris@localhost IDENTIFIED BY "ruby"
这些权限不是全局的，所以它们不存储在user表中，我们仍然需要在user表中创建一条记录（使得用户能连接），但我们也需要创建一个db表记录记录数据库集权限：

INSERT INTO user (Host,User,Password) VALUES("localhost","boris",PASSWORD("ruby"))

INSERT INTO db VALUES("localhost","sample_db","boris","Y","Y","Y","Y","Y","Y","N","Y","Y","Y")

"N"列是为GRANT权限；对末尾的一个数据库级具有WITH GRANT OPTION的GRANT语句，你要设置该列为"Y"。

要设置表级或列级权限，你对tables_priv或columns_priv使用INSERT语句。当然，如果你没有GRANT语句，你将没有这些表，因为它们在MySQL中同时出现。如果你确实有这些表并且为了某些原因想要手工操作它们，要知道你不能用单独的列启用权限。

你设置tables_priv.Table_priv或columns_priv.Column_priv列来设置包含你想启用的权限值。例如，要对一个表启用SELECT和INSERT权限，你要在相关的tables_priv的记录中设置Table_priv为"Select,Insert"。

如果你想对一个拥有MySQL账号的用户修改权限，使用UPDATE而不是INSERT，不管你增加或撤销权限都是这样。要完全删除一个用户，从用户使用的每个表中删除记录。

如果你愿意避免发一个查询来直接修改全权表，你可以看一下MySQL自带的mysqlaccess和mysql_setpermissions脚本。

　　　摘自《晏子工作室》　晏子/文


附录1 小测验


在你刚刚新安装了一个MySQL服务器，在你增加了一个允许连接MySQL的用户，用下列语句：

GRANT ALL ON samp_db.* TO fred@*.snake.net IDENTIFIED "cocoa"

而fred碰巧在服务器主机上有个账号，所以他试图连接服务器：

%mysql -u fred -pcocoa samp_db
ERROR 1045: Access denied for user: 'fred@localhost' (Using password: YES)

为什么？

原因是：（本页内找）
　
先考虑一下mysql_install_db如何建立初始权限表和服务器如何使用user表记录匹配客户连接。在你用mysql_install_db初始化你的数据库时，它创建类似这样的user表：

Host User
localhost
pit.snake.net
localhost
pit.snake.net root
root


头两个记录允许root指定localhost或主机名连接本地服务器，后两个允许匿名用户从本地连接。当增加fred用户后，

Host User
localhost
pit.snake.net
localhost
pit.snake.net
%.snake.net root
root


fred

在服务器启动时，它读取记录并排序它们（首先按主机，然后按主机上的用户），越具体越排在前面：

Host User
localhost
localhost
pit.snake.net
pit.snake.net
%.snake.net root

root

fred

有localhost的两个记录排在一起，而对root的记录排在第一，因为它比空值更具体。pit.snake.net的记录也类似。所有这些均是没有任何通配符的字面上的Host值，所以它们排在对fred记录的前面，特别是匿名用户排在fred之前。

结果是在fred试图从localhost连接时，Host列中的一个空用户名的记录在包含%.snake.net的记录前匹配。该记录的口令是空的，因为缺省的匿名用户没有口令。因为在fred连接时指定了一个口令，由一个错配且连接失败。

这里要记住的是，虽然用通配符指定用户可以从其连接的主机是很方便。但你从本地主机连接时会有问题，只要你在table表中保留匿名用户记录。

一般地，建议你删除匿名用户记录：

mysql> DELETE FROM user WHERE User="";

更进一步，同时删除其他授权表中的任何匿名用户，有User列的表有db、tables_priv和columns_priv。

　

　　摘自《晏子工作室》　晏子/文



附录2 使一个新的MySQL安装更安全



在你自己安装了一个新的MySQL服务器后，你需要为MySQL的root用户指定一个目录（缺省无口令），否则如果你忘记这点，你将你的MySQL处于极不安全的状态（至少在一段时间内）。

在Unix（Linux）上，在按照手册的指令安装好MySQL后，你必须运行mysql_install_db脚本建立包含授权表的mysql数据库和初始权限。在Windows上，运行分发中的Setup程序初始化数据目录和mysql数据库。假定服务器也在运行。

当你第一次在机器上安装MySQL时，mysql数据库中的授权表是这样初始化的：

你可以从本地主机（localhost）上以root连接而不指定口令。root用户拥有所有权限（包括管理权限）并可做任何事情。（顺便说明，MySQL超级用户与Unix超级用户有相同的名字，他们彼此毫无关系。）
匿名访问被授予用户可从本地连接名为test和任何名字以test_开始的数据库。匿名用户可对数据库做任何事情，但无管理权限。
从本地主机多服务器的连接是允许的，不管连接的用户使用一个localhost主机名或真实主机名。如：

% mysql -h localhost test

% mysql -h pit.snake.net test

你以root连接MySQL甚至不指定口令的事实只是意味着初始安装不安全，所以作为管理员的你首先要做的应该是设置root口令，然后根据你设置口令使用的方法，你也可以告诉服务器重载授权表是它知道这个改变。（在服务器启动时，它重载表到内存中而可能不知道你已经修改了它们。）

对MySQL 3.22和以上版本，你可以用mysqladmin设置口令：

% mysqladmin -u root password yourpassword

对于MySQL的任何版本，你可以用mysql程序并直接修改mysql数据库中的user授权表：

% mysql -u root mysql
mysql>UPDATE user SET password=PASSWORD("yourpassword") WHERE User="root";

如果你有MySQL的老版本，使用mysql和UPDATE。

在你设置完口令后，通过运行下列命令检查你是否需要告诉服务器重载授权表：

% mysqladmin -u root status

如果服务器仍然让你以root而不指定口令而连接服务器，重载授权表：

% mysqladmin -u root reload

在你设置了root的口令后（并且如果需要重载了授权表），你将需要在任何时候以root连接服务器时指定口令。

一、以非特权用户运行MySQL服务器
在讨论如何启动MySQL服务器之前，让我们考虑一下应该以什么用户身份运行MySQL服务器。服务器可以手动或自动启动。如果你手动启动它，服务器以你登录Unix（Linux）的用户身份启动，即如果你用paul登录Unix并启动服务器，它用paul运行；如果你用su命令切换到root，然后运启动服务器，则它以root运行。然而，大多数情况下你可能不想手动启动服务器，最有可能是你安排MySQL服务器在系统引导时自动启动，作为标准引导过程的一部分，在Unix下，该引导过程由系统的Unix用户root执行，并且任何在该过程中运行的进程均以root权限运行。

你应该牢记MySQL服务器启动过程的两个目标：

你想让服务器以某个非root用户运行。一般地，你想限制任何运行进程的能力，除非确实需要root权限，而MySQL不需要。
你想让服务器始终以同一个用户运行，此时用一个用户而其他时候以另一个不同的用户运行服务器是很不方便的，这造成了为文件和目录以具有不同属主的数据目录下被创建，并可能导致服务器不能访问数据库或表，这看你以哪个用户运行。统一用同一个用户运行服务器是你避免这个问题。
要一个普通的非特权用户运行服务器，按照下列步骤：

选择一个用于运行服务器的用户，mysqld可以用任何用户运行。但在概念上较清晰的是为MySQL操作创建一个单独的用户。你也可以特别为MySQL选择一个用户组。本文使用mysqladm和mysqlgrp分别作为用户名和用户组名。
如果你已在自己的账号下安装好了MySQL且没有系统上的特殊管理权限，你将可能在你自己的用户ID下运行服务器。在这种情况下，用你自己的登录名和用户组代替mysqladm和mysqlgrp。
如果你在RedHat Linux上用rpm文件安装MySQL，该安装将自动创建一个名为mysql的账号，用该账号代替mysqladm。
如果必要，用系统通常的创建用户的过程创建服务器账号，你需要用root做它。
如果服务器在运行，停止它。
修改数据目录和任何子目录和文件的属主，这样使得mysqladm用户拥有它们。例如，如果数据目录是/usr/local/var，你可以如下设置mysqladm的属主（你需要以root运行这些命令）：

#cd /usr/local/var
#chown -R mysqladm.mysqlgrp

修改数据目录和任何子目录和文件的权限，使得它们只能由mysqladm用户访问。如果数据目录是/usr/local/var，你可以设置由mysqladm拥有的任何东西：

# cd /usr/local/var
# chmod -R go-rwx
当你设置数据目录及其内容的属主和模式时，注意符号连接。你需要顺着它们并改变它们指向的文件或目录的属主和模式。如果连接文件的目录位于不属于你的地方，会有些麻烦，你可能需要root身份。

在你完成了上述过程后，你应该确保总是在以mysqladm或root登录时启动服务器，在后者，确定指定--user=mysqladm选项，使服务器能将其用户ID切换到mysqladm（同时也适用于系统启动过程）。

--user选项在MySQL 3.22中引入，如果你有老版本，你可以使用su命令告诉系统在以root运行时在特定的用户下运行服务器。

二、启动服务器的方法
在我们确定了用于运行服务器的账号后，你可以选择如何安排启动服务器。你可以从命令行手动或在系统引导过程中自动地运行它。对于启动服务器由三种主要方法：

直接调用mysqld。
这可能是最不常用的方法，建议不要多使用，因此本文不详细介绍。
调用safe_mysqld脚本。
safe_mysqld试图确定服务器程序和数据目录的位置。然后用反映这些值的选项调用服务器。safe_mysqld将标准出错设备从服务器重定位到数据目录下的一个出错文件，使得有它的一条记录。在启动服务器后，safe_mysqld也监视它并且如果它死掉则重启它。safe_mysqld常用于BSD风格的Unix系统。
如果你以root或在系统引导期间启动sqfe_mysqld，出错日志由root拥有，这可能在你以后试图用一个非特权用户调用safe_mysqld时将导致“permission denied”（权限拒绝）错误，删除出错日志再试一下。
调用mysql.server脚本。
这个脚本通过有意用于System V的启动和停止系统上的safe_mysqld.mysql.server来启动服务器，该系统包含几个包含在机器进入或退出一个给定运行级别时被点用的脚本目录。它可以用一个start或stop参数点用以表明你是想启动还是想停止服务器。
safe_mysqld脚本安装在MySQL安装目录的bin目录下，或可在MySQL源代码分发的scripts目录下找到。mysql.server脚本安装在MySQL安装目录下的share/mysqld目录下或可以在MySQL源代码分发的support_files目录下找到。如果你想使用它们，你需要将它们拷贝到适当的目录下。

对BSD风格的系统（FreeBSD，OpenBSD等），通常在/etc目录下有几个文件在引导时初始化服务，这些文件通常有以“rc”开头的名字，且它有可能由一个名为“rc.local”的文件（或类似的东西），特意用于启动本地安装的服务。在这样的系统上，你可能将类似于下列的行加入rc.local文件中以启动服务器（如果safe_mysqld的目录在你的系统上不同，修改它即可）：

if [ -x /usr/local/bin/safe_mysqld ]; then
/usr/local/bin/safe_mysqld &
fi
对于对于System V风格的系统，你可以通过将mysql.server放在/etc下适当的启动目录下来安装它。如果你运行Linux并从一个RPM文件安装MySQL，这些已经为你做好了，否则将脚本安装在主启动目录下，并将指向它的连接放在适当的运行级别目录下。你也可以使脚本只能由root启动。

启动文件的目录布局各系统不同，所以你需要检查一下看看你的系统如何组织它们。例如在Linux PPC上，目录是/etc/rc.d和/etc/rc.d/rc3.d，这样你可以这样安装脚本：

#cp mysql.server /etc/rc.d/init.d
#cd /etc/init.d
#chmod 500 mysql.server
#cd /etc/rc.d/rc3.d
#ln -s ../init.d/mysql.server S99mysql
在solaris上，主脚本目录是/etc/init.d，并且运行级别目录是/etc/rd2.d，所以命令看上去像这样：

#cp mysql.server /etc/rc.d/init.d
#cd /etc/init.d
#chmod 500 mysql.server
#cd /etc/rc2.d
#ln -s ../init.d/mysql.server S99mysql
在系统启动时，S99mysql脚本将自动用一个start参数调用。如果你有chkconfig命令（Linux上有），你可以由它帮助安装mysql.server脚本而不是象上面那样手工运行上述命令。

2.1 指定启动选项
如果你想在服务器启动时指定额外的启动选项，你可有两种方法。你可以修改你使用的启动脚本（safe_mysqld或mysql.server）并直接在调用服务器的行上指定选项，或在一个选项文件中指定选项。建议你如果可能在一个全局选项文件中指定选项，它通常位于/etc/my.cnf（Unix）或c:\my.cnf（Windows）。

某些种类的信息无法以服务器选项指定。对于这些你可能需要修改safe_mysqld。例如，如果你的服务器不能正确选择本地时区而以GMT返回时间值，你可以设置TZ环境变量给它一个指示。如果你用safe_mysqld或mysql.server启动服务器，你可以将一个时区设置加到safe_mysqld。找到启动服务器的行并在该行前加入下列命令：

TZ=US/Central
export TZ
上面命令的语法是Solaris的，对于其他系统语法可能不同，请查阅相关手册。如果你确实修改了你的启动脚本，要记住下次你安装MySQL时（如升级到新版本），你的修改将失去，除非你首先在别处复制了启动脚本。在安装了新版本后，比较新旧版本的脚本，看看你需要重建什么改变。

2.2 在启动时检查你的表
除了安排你的服务器在系统引导时启动，你可能要安装myisamchk和isamchk脚本，以在服务器启动前检查你的表。你可能在一个崩溃后重启，有可能表已经损害，在启动前检查它是一个发现问题的好方法。

三、停止服务器
要手工启动服务器，使用mysqladmin：

%mysqladmin shutdown

要自动停止服务器，你不需做特别的事情。BSD系统一般通过向进程发一个TERM信号停止服务，它们或者正确应答它或被粗鲁地杀死。mysqld在它收到这个信号时以终止作为应答。对于用mysql.server启动服务器的System V风格的系统，停止进程将用一个stop参数调用该脚本，告诉服务器终止，当然假定你已安装了mysql.server。

四、如果你不能连接服务器，如何重新获得对服务器的控制
在某些情况下，你可能由于不能连接它而手工重启服务器。当然，这有点矛盾。因为一般你通过连接服务器而手工关掉它，那么这种情况如何会出现。

首先，MySQL root口令可以已经设置为你不知道的值，这可能发生在你修改口令时，例如，如果你在输入新口令时偶然键入一个不可见的控制字符。你也可能忘记口令。

其次，连接localhost通常通过一个Unix域套接字文件进行，一般是/tmp/mysql.sock。如果套接字文件被删除了，本地客户就不能连接。这可能发生在你的系统运行一个cron任务删除了/tmp下的临时文件。

如果你因为丢失套接字文件而不能连接，你可以简单地通过重启服务器重新创建得到它。因为服务器在启动时重新创建它。这里的骗局是你不能用套接字建立连接因为它不见了，你必须建立一个TCP/IP连接，例如，如果服务器主机是pit.snake.net，你可以这样连接：

%mysqladmin -p -u root -h pit.snake.net shutdown

如果套接字文件被一个cron任务删除，问题将重复出现，除非你修改cron任务或使用一个或使用一个不同的套接字文件，你可以使用全局选项文件指定一个不同的套接字，例如，如果数据目录是/usr/local/var，你可以通过将下列行加入/etc/my.cnf中，将套接字文件移到那里：

[mysqld]
socket=/usr/local/var/mysql.sock

[client]
socket=/usr/local/var/mysql.sock
对服务器和客户均指定路径名，使得它们都使用同一个套接字文件。如果你只为服务器设置路径，客户程序将仍然期望在原位置执行套接字，在修改后重启服务器，使它在新位置创建套接字。

如果你由于忘记root口令或已经将它设置为不同于认为的值而不能连接，你需要重新获得对服务器的控制，是你能再次设置口令：

中断服务器
如果你以root登录服务器主机，你可以用kill命令终止服务器。你可以使用ps命令或通过寻找服务器的PID文件（通常在数据目录中）找出服务器进程的ID。
最好是首先尝试用一个向服务器发出一个TERM信号的正常kill看它是否将以正常终止应答。这种方式下，表和日志将正确地被清空。如果服务器阻塞并且不应答一个正常终止信号，你可以用kill -9强制终止它。这是最后的手段了，因为这可能有未清空的修改，而且你冒着让表处于一个不一致状态的风险。
如果你用kill -9终止服务器，要确保在启动服务器前用myisamchk和isamchk检查你的表。
用--skip-grant-table选项重启服务器。
这告诉服务器不使用授权表验证连接，这允许你以root连接而无须口令。在你已经连接后，改变root口令。
用mysqladmin flush-privileges告诉服务器再次使用授权表启动
如果你的mysqladmin版本不认识flash-privileges，试一试reload。
五、运行多个服务器
大多数再一台给定的机器上运行单个MySQL服务器，但在很多情况下，运行多个服务器是很有用的：

你可能想测试一个服务器的新版本，而保留你正在运行的生产服务器。在这种情况下，你会运行不同的服务器代码。
操作系统一般限制每个进程的打开文件句柄数量。如果你的系统很难提高这个限制，运行多个服务器是解决限制的一种方法。在这种情况下，你可能运行统一服务器的多个实例。
ISP经常为其客户提供自己的MySQL安装，有必要涉及单独的服务器。在这种情况下，你可能运行同一版本的多个实例或不同版本，如果不同的客户想要不同版本的MySQL。
很自然地，运行多个服务器比只运行一个服务器要复杂得多。如果你安装多个版本，你不能在同一个地方安装所有东西。当服务器运行时，某些参数必须或很可能对每个服务器是唯一的，它们包括服务器在哪安装、其数据目录的路径名、TCP/IP端口和UNIX域套接字路径名以及用于运行服务器的UNIX账号（如果你不再同一账号下运行所有服务器）。如果你决定运行多个服务器，一定要注意你使用的参数，是你不至于丢失对所发生的事情的踪迹。

5.1 配置和安装多个服务器
如果你要运行不同版本的服务器而不是同一版本的多个实例，你必须在不同地点安装它们。如果你安装二进制分发（不用RPM），它们将安装在包含不同版本号的目录名下。如果你从源代码安装，最简单的方法是在每个版本运行configure配置MySQL安装过程中使用--with-prefix选项使得不同分发分开，这将使得所有东西安装在一个单独的目录下，你可以将目录域分发版本号联系起来，如，你可以象这样配置一个MySQL分发，其中version是MySQL版本号：

%.configure --with-prefix=/usr/local/mysql-version
--with-prefix选项也决定了服务器的一个唯一数据目录。你可能想加上其它服务器特定的选项，如TCP/IP端口号和套接字路径名（--with-tcp-port和--with-unix-socket）。

如果你想运行同一版本服务器的多个实例，任何必须基于一个服务器特定设置的选项将需要在运行时指定。

5.2 多服务器的启动过程
启动多个服务器比使用一个服务器要复杂。因为safe_mysqld和mysql.server均在单个服务器设置上工作得最好。建议你仔细研究一下safe_mysqld并用它作为你的启动过程的基础，使用你修改的版本，你能针对你自己的需要更精确地裁剪它。

你必须处理的一个问题是如何在选项文件（my.cnf）中指定选项。对于多服务器，你不能对于每个不同的服务器设置使用/etc/my.cnf，你只能对所有服务器相同的设置使用该文件。如果服务器有一个不同的编译进去的数据目录位置，你可以在每个服务器数据目录中的my.cnf中指定所有服务器要使用的设置，而使用DATADIR/my.cnf指定服务器特定的设置，这里DATADIR以服务器不同而不同。

另一种指定服务器选项的方法是用--default-file=path_name作为命令行的第一个选项，告诉服务器从名为path_name中的文件中读取选项，这样你可以把一个服务器选项放在一个对该服务器唯一的文件中，然后告诉服务器在启动时读取该文件。注意，如果你指定这个选项，将不使用通常的选项文件如/etc/my.cnf的任何一个。

《MySQL管理员指南》之三－－MySQL数据目录结构

从概念上讲，大多数关系数据库系统是相似的：它们有一系列数据库组成，每个数据库包含一系列数据库表，但每个系统有各自组织其管理的数据方式，MySQL也不例外。
缺省地，所有由MySQL服务器mysqld管理的数据存储在一个称为MySQL数据目录的地方，所有数据库都存放在哪儿，也包括提供服务器操作信息的状态文件。如果你对一个MySQl安装执行管理任务，你应该熟知数据目录的布局及用途。

本文介绍下列专题：

如何确定数据目录的位置。
服务器如何组织并提供对数据库和它管理的表的访问。
在哪里找到由服务器生成的状态文件记忆它们包含什么内容。
如何改变缺省地点或数据目录或单独数据库的组织结构。
1、数据目录的位置
一个缺省数据目录被编译进了服务器，如果你从一个源代码分发安装MySQL，典型的缺省目录为/usr/local/var，如果从RPM文件安装则为/var/lib/mysql，如果从一个二进制分发安装则是/usr/local/mysql/data。

在你启动服务器，通过使用一个--datadir=/path/to/dir选项可以明确指定数据目录位置。如果你想把数据目录置于其它缺省位置外的某处，这很有用。

作为一名MySQL管理员，你应该知道你的数据目录在哪里。如果你运行多个服务器，你应该是到所有数据目录在哪里，但是如果你不知道确切的位置，由多种方法找到它：

使用mysqladmin variables从你的服务器直接获得数据目录路径名。查找datadir变量的值，在Unix上，其输出类似于：
%mysqladmin variables

+----------------------+----------------------+
| variable_name     | Value           |
+----------------------+----------------------+
| back_log         | 5             |
| connect_timeout     | 5             |
| basedir         | /var/local/       |
| datadir         | /usr/local/var/     |
....
在Windows上，输出可能看上去像这样：
c:\mysqladmin variables

+----------------------+----------------------+
| variable_name     | Value           |
+----------------------+----------------------+
| back_log         | 5             |
| connect_timeout     | 5             |
| basedir         | c:\mysql\         |
| datadir         | c:\mysql\data\     |
....
如果你有多个服务器在运行，它们将在不同的TCP/IP端口或套接字上监听，通过提供连接服务器正在监听的端口或套接字的--port或--socket选项，你可以轮流获得它们每一个的数据目录信息：

%msqladmin --port=port_name variables

%mysqladmin --socket=/path/to/socket variables

mysqladmin命令可运行在任何你能从其连接服务器的主机上，如果你想在一个远程主机连接服务器，使用一个--host=host_name选项：

%mysqladmin --host=host_name variables

在Windows上，你可以通过使用--pipe强制一个命令管道连接和--socket=pipe_name指定管道名来连接监听一个命令管道的NT服务器：

c:\mysqladmin --pipe --socket=pipe_name variables

你可以使用ps命令查看任何正在运行mysqld 进程的命令行。
试一下下列命令之一并寻找--datadir：

%ps axww | grep mysql     BSD风格

%ps -ef | grep mysqld         System V风格

如果你的系统运行多个服务器，ps命令可能特别有用，因为你能马上发现多个数据目录位置，缺点是必须在服务器上运行，而且可能没有有用的信息产生，除非在mysqld命令行上明确指定了--datadir选项。

如果MySQL是从一个源代码分发安装的，你可以检查其配置信息确定数据目录位置。例如，位置可从顶级Makefile中获得，但是注意，位置是Makefile中的localstatedir值，不是datadir，而且，如果分发位于一个NFS挂载的文件系统并用来为多个主机构建MySQL，配置信息反映了分发被最新构建的主机，这可能不能提供你感兴趣的主机的数据目录信息。
如果上述方式失败，你可以用find寻找数据库文件，下列命令寻找“.frm”文件，它是任何MySQL安装的一部分：

% find / -name ".frm" -print

在下文各例中，用DATADIR表示MySQL数据目录位置。
2、数据目录结构
MySQL数据目录包含了服务器管理的所有数据目录，这些文件被组织成一个树状结构，通过利用Unix或Windows文件系统的层次结构直接实现。

每个数据库对应于数据目录下的一个目录。
在一个数据库中的表对应于数据目录下的文件。
数据目录也包含由服务器产生的几个状态文件，如日志文件。这些文件提供了关于服务器操作的重要信息。对管理特别在出了问题而试图确定问题原因时很有价值。例如，如果某个特定查询杀死服务器，你可以通过检查日志文件判别捣乱的查询。

2.1 MySQL服务器怎样提供对数据的访问
在数据目录下的一切由一个单独的实体-MySQL服务器mysqld管理，客户程序绝不直接操作数据。相反，服务器提供数据可访问的切入点，它是客户程序与它们想使用的数据之间的中介。

当服务器启动时，如果有需要，它打开日志文件，然后通过监听网络连接位数据目录呈现一个网络接口。要访问数据，客户程序建立对服务器的一个连接，然后以MySQL查询传输请求来执行希望的操作。服务器执行每一个操作并将结果发回用户。服务器是多线程的并能服务多个同时的客户连接。然而，因为修改操作一个执行一个，实际效果是顺序化请求，以使两个客户决不能在同一时刻改变同一记录。

在正常的情况下，让服务器作为数据库访问的唯一仲裁者提供了避免可从同时访问数据库表的多个进程的破坏的保证。管理员应该知道有时服务器没有对数据目录的独裁控制。

当你在一个单个数据目录上运行多个服务器。一般倪云新一个服务器管理主机上的所有数据库，但是有可能运行多个服务器。如果这完成提供对多个独立数据目录的访问，没有相互影响的问题，但哟也能启动多个服务器并指向同一个目录。一般地，这不是一个好主意。如果你试图这样，最好是你的系统提供良好的文件锁定功能，否则服务器将不能正确协作。如果你将多个服务器同时写入日志文件，你也冒着你的日志文件称为混乱的根源的风险。
在你运行isamchk和myisamchk时。isamchk和myisamchk实用程序用于表的维护、诊错和修复，就想你想的那样，因为这些程序可以修改表内容，允许它们与服务器正在操作的同时对表操作，这样能导致表损坏。理解如何限制这种相互影响是很重要的，这样你不会损坏你的表。
2.2 数据目表示
每个MySQL服务器管理的数据库有自己的数据库表，它是数据目录下的一个子目录，其名字与它表示的数据库相同。例如数据库my_db对应于数据库目录DATADIR/my_db。

这种表示允许多个数据库级的语句在其实现中十分简单。CREATE DATABASE db_name在数据目录中创建一个db_name空目录，具有只允许MySQL服务器用户(运行服务器的Unix用户)的属主和模式，这等价于下列手工在服务器主机上创建数据库：

%mkdir DATADIR/db_name
%chmod 700 DADADIR/db_name
用一个空目录表示一个新数据库的最简单方法与其它数据库甚至为一个空数据库创建大量的控制文件或系统文件正好相反。

DROP DATABASE语句实现同样简单。DROP DATABASE db_name删除数据库中的db_name目录和所有表文件，这几乎与下列命令一样：

%rm -rf DATADIR/db_name
(差别是服务器只删除具有已知用于表的后缀名的文件。如果你在数据库目录创建了其它文件。则服务器保留它们，而且目录本身不被删除。

SHOW DATABASE基本上不做什么，只是列出位于数据目录中的目录名。有些数据库系统保持一个主表，用于维护所有数据库，但在MySQL无此构件。由于赋予数据目录结构的简洁性，数据库列表隐含在数据目录的内容中，而且这样的表不必有额外的开销。

2.3 数据库表的表示
每个数据库在数据库目录中有3个文件：一个样式（描述文件）、一个数据文件和一个索引文件。每个文件的基本名是表名，文件名扩展名代表文件类型。扩展名如下表。数据和索引文件的扩展名指出表使用老式IASM索引或新式MyISAM索引。

表 MySQL文件类型
文件类型 文件名扩展名 文件内容
样式文件 .frm 描述表的结构（它的列、列类型、索引等）。
数据文件 .ISD(ISAM)
或.MYD(MyISAM) 包含数据文件上的所有索引的索引树。
索引文件 .ISM(ISAM)
或.MYI(MyISAM) 该索引文件依赖表是否有索引而存在。

当你发出一条CREATE TABLE tbl_name时语句定义表的结构时，服务器创建一个名为tbl_name.frm的文件，它包括该结构的内部编码，同时也创建一个空数据和索引文件，初始化为包含指出无记录和无索引的信息（如果CREATE TABLE语句包括索引指定，索引文件反映出这些索引）。对应于表的文件的属主和模式被设置为只允许MySQL服务器用户访问。

当你发出一条ALTER TABLE tbl_name语句时，服务器重新编码tbl_name.frm，并修改数据和索引文件的内容以反映语句指定的结构改变。对于CREATE INDEX和DROP INDEX也是一样，因为它们被服务器视为与ALTER TABLE等价。DROP TABLE通过删除对应于表的三个文件来实现。

虽然你可以通过删除数据库目录中对应于表的三个文件，但不能手工创建或修改一个表，如，如果my_db是当前数据库，DROP TABLE my_tbl大概等价于下列命令。

% rm -rf DATADIR/my_db/my_tbl.*

SHOW TABLE my_db的输出只是列出my_db数据库目录中的.frm文件的基文件名。有些数据库系统一个注册表，列举所有包含在一个数据库中的表，MySQL不是，因为不必要，“注册表”隐含在数据目录的结构中。

2.4 操作系统对数据库和表命名的限制
MySQL对命名数据库和表有一个原则：

名字可以由当前字符集中的任何字母数字字符组成，下划线和美元符$也可以。
名字最长为64个字符。
然而，因为数据库和表的名字对应于目录和文件名，服务器运行的操作系统可能强加额外的限制。

首先，数据库和表名仅限于对文件名合法的字符，如$在MySQL的原则中是允许的，但是如果你的操作系统不允许，则你不能在目录或表名中使用它。实际上，这对Unix或Windows不是所担心的，最大的难度是在执行数据库管理时直接在shell中引用名字，例如，如果你命名一个数据库如$my_db，包含一个美元符，任何从shell中对该名字的引用可能被shell解释为对一个变量的引用：

%ls $my_db
my_db:undefined variable

对此，你必须转义$字符或用引号禁止其特殊含义：

%ls \$my_db
%ls '$my_db'

如果你用引号，一定要用单引号，而双引号并不禁止变量解释。

其次，虽然MySQL允许数据库和表名最长到64个字符，但名字的长度受限于你的操作系统限定的长度，一般这不是一个问题（虽然老的System V强制14个字符）。在这种情况下，你数据库名的上限为14个字符，而表名上限为10个字符，因为表示表的文件名有一个点（.）和三个字符的扩展名。

第三，文件系统的大小写敏感性影响到你如何命名和引用数据库和表名。如果文件系统是大小写敏感的（如Unix），两个名字my_tbl和MY_TBL是不同的表。如果文件系统不是大小写敏感的（如Windows），这两个名字指的是相同的表。如果你用一个Unix服务器开发数据库，并且如果你有可能转移到Windows，你应该记住这一点。

2.5 MySQL状态文件
除了数据库目录，MySQL数据目录还包含很多状态文件，这些文件总结在下表中。大多数文件的缺省名从服务器主机名生成，在下表中表示为HOSTNAME。

表 MySQL状态文件
文件类型 缺省名 文件内容
进程ID HOSTNAME.pid 服务器进程的ID
出错日志 HOSTNAME.err 启动和关闭事件和出错情况
一般日志 HOSTNAME.log 连接/断开事件和查询信息
更新日志 HOSTNAME.nnn 修改表结构级内容的所有查询文本

当服务器启动时，它将其进程ID写入进程ID（PID）文件中，而在它关闭时，删除该文件。PID文件是允许服务器本身被其他进程找到的工具。例如，如果你运行mysql.server，在系统关闭时，关闭MySQL服务器的脚本检查PID文件以决定它需要向哪个进程发出一个终止信号。

出错日志由safe_mysqld创建，作为服务器标准出错输出的重定向，它包含任何邪到stderr的消息。这意味着只有你通过调用safe_mysqld启动服务器，出错文件才存在（无论如何，它是一个启动服务器的最好方法，因为如果它由于出错而退出，safe_mysqld将重启服务器。）。

一般日志和更新日志是可选的。你可以只开启你需要的日志类型，用--log和--log-update服务器选项。
一般日志提供服务器操作的一般信息：谁从哪里连接服务器和他们发出什么查询。更新日志提供查询信息，但只有修改数据库内容的查询。更新日志内容被写成SQL语句，可以将它们提供给mysql客户程序来执行。如果你遇上崩溃，并且必须倒回备份文件，更新日志就很有用，因为你能重复执行自崩溃时的更新，通过将更新日志反馈给服务器，这允许你将数据库恢复到崩溃发生时的状态。

下面是一个简单的例子，信息出现在一般日志中，它是一个创建一个在数据库test中表，插入一行，然后删除表的会话：

990509      7:37:09            492 Connect      aul@localhost on test
                 492 Query      show databases
                 492 Query      show tables
                 492 Field List tbl_1
                 492 Field List tbl_2
                 ...
990509      7:34:22            492 Query      CREATE TABLE my_tbl (val INT)
990509      7:34:34            492 Query      INSERT INTO my_tbl values (1)
990509      7:34:38            492 Query      DROP TABLE my_tbl
990509      7:34:40            492 Quit
一般日志包含日期和时间、服务器进程ID、事件类型和事件信息栏目。

同一个会话出现在更新日志中看上去像这样：

use test;
CREATE TABLE my_tbl (val int);
INSERT INTO my_tbl VALUES(1);
DROP TABLE my_tbl;
对更新日志，用--log-long-format选项获得一个扩展形式的日志，扩展日志提供有关谁何时发出每一条查询，这使用更多的磁盘空间，但如果你想知道谁在做什么，而不用将更新日志对照一般日志的内容找到连接事件。

对上面的会话，扩展更新日志产生这样的信息：

# Time: 990507 7:32:42
# User@Host: paul [paul] @ localhost []
use test;
CREATE TABLE my_tbl (val int);
# User@Host: paul [paul] @ localhost []
INSERT INTO my_tbl VALUES(1);
# Time: 990507 7:32:43
# User@Host: paul [paul] @ localhost []
DROP TABLE my_tbl;　
保证你的日志文件安全并且不让任意用户读取是个好主意。一般日志和更新日志都能包含诸如口令等的敏感信息，因为它们包含查询文本。如：

990509      7:23:31            4 Query      UPDATE user SET Password=PASSWORD("secret")
                       WHERE user="root"
对于检查和设置数据目录的权限，请见《MySQL安全性指南》。使数据目录安性的指令包含下列命令：

% chmod 700 DATADIR

以拥有数据目录的Unix用户运行此命令。确保服务器也以此用户运行，否则该命令不仅将其它人拒之门外，它也阻止服务器访问你的数据库。

状态文件出现在数据目录的顶级目录，就象数据库目录，所以你可能担心这些文件名是否与数据库名冲突或出错（如在服务器执行SHOW DATABASES语句时）。答案是不。状态和日志文件信息存储在文件中，而数据库是目录，所以可执行程序能用一个简单的stat()调用区分它们。如果你看一下数据目录，你可以区分状态文件和数据库目录，用ls -l并检查模式的第一个字符是一个"_"还是一个"d"。

你也可以简单地看一下名字，所有状态文件名包含一个点(".")，而数据库目录没有（.在数据库名中是无效字符）。


3 重定位数据库目录
前面讨论的数据目录结构是缺省配置，所有数据库和状态文件均包含其中，然而，你有某些自由决定数据目录内容的位置，本节讨论为什么你可能移走部分数据目录（或甚至目录本身）、你能移走什么以及你如何做这些改变。

MySQL允许你重定位数据目录或其中的成员，由几个原因你为什么要这样做：

你能将数据目录放在你缺省所在的文件系统更大容量的文件系统上。
如果你的数据目录在一个繁忙的硬盘上，你可能把它放在不太忙的磁盘上以均衡磁盘活动。你可以把数据库和日志文件放在分开的磁盘上或跨磁盘分布。
你可能想运行多个服务器，各自有自己的数据目录，这是解决每个进程文件描述符限制问题的一种方法，特别是你不能重新配置内核以允许更高的限制。
有些系统在例如/var/run中保存服务器的部分文件，你可能想把MySQL的PID文件也放在那儿，为了系统操作的一致性。

3.1 重定位方法
有两种方法重定位数据目录的内容：

你可以在服务器启动时指定选项，在命令行或在一个选项文件的[mysqld]中。
你可以移走要重定位的东西，然后在原位置做一个指向新位置的符号连接。
两种方法都不能解决你能重定位的一切，下表总结了什么能重定位和用哪种方法重定位。如果你使用选项文件，有可能在全局选项文件/etc/my.cnf（Windows上的c:\my.cnf）指定选项。当前的Windows版本也寻找系统目录（c:\Windows或c:\NT）。

表 重定位方法
重定位方法 适用的重定位方法
整个数据目录 启动选项或符号连接
单个数据库目录 符号连接
单个数据库表 符号连接
PID文件 启动选项
一般日志 启动选项
更新日志 启动选项

你也可以使用缺省数据目录中的选项文件my.cnf，但不推荐使用该文件。如果你想重定位数据目录本身，你不得不让缺省数据目录可读以便使你能在这里放置选项文件指定服务器应该在哪里找到“真正”的数据目录！这很混乱。如果你想使用一个选项文件指定服务器选项，最好使用/etc/my.cnf。

3.1 检验重定位的效果
在试图重定位任何东西之前，检验操作达到预期效果是个好主意。借助于du、df和ls -l命令获得磁盘空间的信息，但这些依赖于你正确了解你的文件系统的布局。

下面演示一个在你检验一个属目录重定位时的设计陷阱。假定你的数据目录是/usr/local/var，而你想把它移到/var/mysql，因为df显示/var文件系统有很多的空闲空间：


%df /usr /var
Filesystem 1k-blocks   Used   Avail Capacity Mounted on
/dev/wd0s3e   396895   292126   73018   80%   /usr
/dev/wd0s3f   1189359 1111924 162287   15%   /var
　
重定位的数据目录在/usr文件系统上有多少空闲空间呢？要知道它，使用du -s找出该目录使用多少空间。

%cd /usr/local/var
%du -s .
133426
这大约是130MB，真实这样吗？在数据目录下试一下df：

%df /usr/local/var
Filesystem 1k-blocks   Used   Avail Capacity Mounted on
/dev/wd0s3f   1189359 1111924 162287   15%   /var　
这就奇怪了。如果我们为包含/usr/local/var的文件系统申请空闲空间，为什么却报告var上的空间呢？这里ls -l提供了答案：

%ls -l /usr/local
....
lrwxrwxrwx 1 root wheel 10 Dec 11 23:33 var -> /var/mysql
....　
输出显示/usr/local/var是对/var/mysql的符号连接，换句话说，数据目录已经被重定位于/var文件系统，并用一个指向那里的符号连接代替。通过将数据目录移到/var竟然释放了/usr上那么多空间！


3.2 重定位数据目录
要重定位数据目录，关闭服务器并把数据目录移到新位置上，然后你应该删除员数据目录并用指向新位置的符号连接代替它，或用明确指出新位置的选项重启服务器。下表列出指定位置的命令行和选项。

表 数据目录重定位语法
选项源 语法
命令行 --data-dir=/path/to/dir
选项文件 [mysqld]
datadir=/path/to/dir

3.3 重定位数据库
数据库能通过符号连接的方法移走。要重定位一个数据库，关闭服务器并移走数据库目录并删除原来的数据库目录，用指向新位置的符号连接代替它，然后重启服务器。

下例显示你如何将一个数据库bigdb移到一个不同的地方：

%mysqladmin -u root -p shutdown
Enter password: ******
%cd DATADIR
%tar cf - bigdb | (cd /var/db; tar xf -)
%mv bigdb bigdb.orig
ln -s /var/db/bigdb .
%safe_mysqld　
你应该以该数据目录的拥有者执行这些命令。为了安全起见，原数据库目录改名为bigdb.orig。在你验证了服务器工作正常后，你可以删除原数据目录。

%rm -rf bigdb.orig


3.4 重定位数据库表
重定位一个单独的表不是个好主意。你可以通过把表文件移到一个不同地方，并在数据目录中创建指向这些文件的符号连接进行。然而，如果你发出一条ALTER TABLE或OPTIMIZE TABLE语句，将不进行你的修改。

每个语句通过在数据库目录中创建一个实现你修改或优化的临时表，然后删除原来的表并将临时表更名为原来的表来完成，结果是你的符号连接被删除，而且新表又回到数据库目录，这是你移走前的原表文件位置。更糟糕的是，你还没有意识到它们在那儿，继续占据着空间，而且符号连接已经被破坏，这样以后当你意识到发生的事情时，如果你忘记你把它们移到什么地方，你可能没有好办法追踪文件了。
因为很难保证具有表访问权的人不修改或优化表，所以最好把表留在数据库目录中。


3.5 重定位状态文件
你可以重中定位PID文件、一般日志和更新日志。出错日志由safe_mysqld用启动选项创建，而不能被重定位（除非你编辑safe_mysqld）。

要在一个不同位置写入状态文件，关闭服务器，然后由指定新状态文件位置的适当选项启动它。下表列出每一个文件的命令行和选项文件的语法。

表 状态文件重定位语法
选项源 语法
命令行 --pid-file=pidfile
--log=lodfile
--log-update=updatefile
选项文件 [mysqld]
pid-file=pidfile
log=lodfile
log-update=updatefile

如果你用绝对路径名指定状态文件，用该路径创建文件，否则文件在数据目录下创建。如，如果你指定--pid-file=/var/run/mysqld.pid，PID文件是/var/run/mysqld.pid。如果你指定-pid-file=mysqld.pid，PID文件是DATADIR/mysqld.pid。

如果你指定无扩展名的更新日志文件，MySQL在它每次打开更新日志时产生顺序名。这些名字用一个扩展名.nnn，这里.nnn是还没被现有更新日志使用的第一个数字（如update.000,update.001等）。你可以通过明确指定扩展名来覆盖顺序名，这时服务器将只使用指定的名字。

在数据库表丢失或损坏的情况下，备份你的数据库是很重要的。如果发生系统崩溃，你肯定想能够将你的表尽可能丢失最少的数据恢复到崩溃发生时的状态。有时，正是MySQL管理员造成破坏。管理员已经知道表以破坏，用诸如vi或Emacs等编辑器试图直接编辑它们，这对表绝对不是件好事！

备份数据库两个主要方法是用mysqldump程序或直接拷贝数据库文件（如用cp、cpio或tar等）。每种方法都有其优缺点：

mysqldump与MySQL服务器协同操作。直接拷贝方法在服务器外部进行，并且你必须采取措施保证没有客户正在修改你将拷贝的表。如果你想用文件系统备份来备份数据库，也会发生同样的问题：如果数据库表在文件系统备份过程中被修改，进入备份的表文件主语不一致的状态，而对以后的恢复表将失去意义。文件系统备份与直接拷贝文件的区别是对后者你完全控制了备份过程，这样你能采取措施确保服务器让表不受干扰。
mysqldump比直接拷贝要慢些。
mysqldump生成能够移植到其它机器的文本文件，甚至那些有不同硬件结构的机器上。直接拷贝文件不能移植到其它机器上，除非你正在拷贝的表使用MyISAM存储格式。ISAM表只能在相似的硬件结构的机器上拷贝。在MySQL 3.23中引入的MyISAM表存储格式解决了该问题，因为该格式是机器无关的，所以直接拷贝文件可以移植到具有不同硬件结构的机器上。只要满足两个条件：另一台机器必须也运行MySQL 3.23或以后版本，而且文件必须以MyISAM格式表示，而不是ISAM格式。
不管你使用哪种备份方法，如果你需要恢复数据库，有几个原则应该遵守，以确保最好的结果：

定期实施备份。建立一个计划并严格遵守。
让服务器执行更新日志。当你在崩溃后需要恢复数据时，更新日志将帮助你。在你用备份文件恢复数据到备份时的状态后，你可以通过运行更新日志中的查询再次运用备份后面的修改，这将数据库中的表恢复到崩溃发生时的状态。
以文件系统备份的术语讲，数据库备份文件代表完全倾倒（full dump），而更新日志代表渐进倾倒（incremental dump）。

使用一种统一的和易理解的备份文件命名机制。象backup1、buckup2等不是特别有意义。当实施你的恢复时，你将浪费时间找出文件里是什么东西。你可能发觉用数据库名和日期构成备份文件名会很有用。例如：
%mysqldump samp_db >/usr/archives/mysql/samp_db.1999-10-02

%mysqldump menagerie >/usr/archives/mysql/menagerie.1999-10-02

你可能想在生成备份后压缩它们。备份一般都很大！你也需要让你的备份文件有过期期限以避免它们填满你的磁盘，就象你让你的日志文件过期那样。

用文件系统备份备份你的备份文件。如果遇上了一个彻底崩溃，不仅清除了你的数据目录，也清除了包含你的数据库备份的磁盘驱动器，你将真正遇上了麻烦。也要备份你的更新日志。
将你的备份文件放在不同于用于你的数据库的文件系统上。这将降低由于生成备份而填满包含数据目录的文件系统的可能性。
用于创建备份的技术同样对拷贝数据库到另一台机器有用。最常见地，一个数据库被转移到了运行在另一台主机上的服务器，但是你也可以将数据转移到同一台主机上的另一个服务器。

1 使用mysqldump备份和拷贝数据库
当你使用mysqldumo程序产生数据库备份文件时，缺省地，文件内容包含创建正在倾倒的表的CREATE语句和包含表中行数据的INSERT语句。换句话说，mysqldump产生的输出可在以后用作mysql的输入来重建数据库。

你可以将整个数据库倾倒进一个单独的文本文件中，如下：

%mysqldump samp_db >/usr/archives/mysql/samp_db.1999-10-02

输出文件的开头看起来象这样：

# MySQL Dump 6.0
#
# Host: localhost Database: samp_db
#---------------------------------------
# Server version 3.23.2-alpha-log
#
# Table structure for table 'absence'
#
CREATE TABLE absence(
student_id int(10) unsigned DEFAULT '0' NOT NULL,
date date DEFAULT '0000-00-00' NOT NULL,
PRIMARY KEY (student_id,date)
);
#
# Dumping data for table 'absence'
#
INSERT INTO absence VALUES (3,'1999-09-03');
INSERT INTO absence VALUES (5,'1999-09-03');
INSERT INTO absence VALUES (10,'1999-09-08');
......　
文件剩下的部分有更多的INSERT和CREATE TABLE语句组成。

如果你想压缩备份，使用类似如下的命令：

%mysqldump samp_db | gzip >/usr/archives/mysql/samp_db.1999-10-02.gz

如果你要一个庞大的数据库，输出文件也将很庞大，可能难于管理。如果你愿意，你可以在mysqldump命令行的数据库名后列出单独的表名来倾到它们的内容，这将倾倒文件分成较小、更易于管理的文件。下例显示如何将samp_db数据库的一些表倾到进分开的文件中：

%mysqldump samp_db student score event absence >grapbook.sql
%mysqldump samp_db member president >hist-league.sql

如果你生成准备用于定期刷新另一个数据库内容的备份文件，你可能想用--add-drop-table选项。这告诉服务器将DROP TABLE IF EXISTS语句写入备份文件，然后，当你取出备份文件并把它装载进第二个数据库时，如果表已经存在，你不会得到一个错误。

如果你倒出一个数据库以便能把数据库转移到另一个服务器，你甚至不必创建备份文件。要保证数据库存在于另一台主机，然后用管道倾倒数据库，这样mysql能直接读取mysqldump的输出。例如：你想从主机pit-viper.snake.net拷贝数据库samp_db到boa.snake.net，可以这样很容易做到：

%mysqladmin -h boa.snake.net create samp_db
%mysqldump samp_db | mysql -h boa.snake.net samp_db

以后，如果你想再次刷新boa.snake.net上的数据库，跳过mysqladmin命令，但要对mysqldump加上--add-drop-table以避免的得到表已存在的错误：

%mysqldump --add-drop-table samp_db | mysql -h boa.snake.net samp_db

mysqldump其它有用的选项包括：

--flush-logs和--lock-tables组合将对你的数据库检查点有帮助。--lock-tables锁定你正在倾倒的所有表，而--flush-logs关闭并重新打开更新日志文件，新的更新日志将只包括从备份点起的修改数据库的查询。这将设置你的更新日志检查点位备份时间。（然而如果你有需要执行个更新的客户，锁定所有表对备份期间的客户访问不是件好事。）
如果你使用--flush-logs设置检查点到备份时，有可能最好是倾倒整个数据库。如果你倾倒单独的文件，较难将更新日志检查点与备份文件同步。在恢复期间，你通常按数据库为基础提取更新日志内容，对单个表没有提取更新的选择，所以你必须自己提取它们。

缺省地，mysqldump在写入前将一个表的整个内容读进内存。这通常确实不必要，并且实际上如果你有一个大表，几乎是失败的。你可用--quick选项告诉mysqldump只要它检索出一行就写出每一行。为了进一步优化倾倒过程，使用--opt而不是--quick。--opt选项打开其它选项，加速数据的倾倒和把它们读回。
用--opt实施备份可能是最常用的方法，因为备份速度上的优势。然而，要警告你，--opt选项确实有代价，--opt优化的是你的备份过程，不是其他客户对数据库的访问。--opt选项通过一次锁定所有表阻止任何人更新你正在倾倒的任何表。你可在一般数据库访问上很容易看到其效果。当你的数据库一般非常频繁地使用，只是一天一次地调节备份。

一个具有--opt的相反效果的选项是--dedayed。该选项使得mysqldump写出INSERT DELAYED语句而不是INSERT语句。如果你将数据文件装入另一个数据库并且你想是这个操作对可能出现在该数据库中的查询的影响最小，--delayed对此很有帮助。
--compress选项在你拷贝数据库到另一台机器上时很有帮助，因为它减少网络传输字节的数量。下面有一个例子，注意到--compress对与远端主机上的服务器通信的程序才给出，而不是对与本地主机连接的程序：
%mysqldump --opt samp_db | mysql --compress -h boa.snake.net samp_db
mysqldump有很多选项，详见《MySQL参考手册》。

2 使用直接拷贝数据库的备份和拷贝方法
另一种不涉及mysqldump备份数据库和表的方式是直接拷贝数据库表文件。典型地，这用诸如cp、tar或cpio实用程序。本文的例子使用cp。

当你使用一种直接备份方法时，你必须保证表不在被使用。如果服务器在你则正在拷贝一个表时改变它，拷贝就失去意义。

保证你的拷贝完整性的最好方法是关闭服务器，拷贝文件，然后重启服务器。如果你不想关闭服务器，要在执行表检查的同时锁定服务器。如果服务器在运行，相同的制约也适用于拷贝文件，而且你应该使用相同的锁定协议让服务器“安静下来”。

假设服务器关闭或你已经锁定了你想拷贝的表，下列显示如何将整个samp_db数据库备份到一个备份目录（DATADIR表示服务器的数据目录）：

%cd DATADIR
%cp -r samp_db /usr/archive/mysql
单个表可以如下备份：

%cd DATADIR/samp_db
%cp member.* /usr/archive/mysql/samp_db
%cp score.* /usr/archive/mysql/samp_db
....

当你完成了备份时，你可以重启服务器（如果关闭了它）或释放加在表上的锁定（如果你让服务器运行）。

要用直接拷贝文件把一个数据库从一台机器拷贝到另一台机器上，只是将文件拷贝到另一台服务器主机的适当数据目录下即可。要确保文件是MyIASM格式或两台机器有相同的硬件结构，否则你的数据库在另一台主机上有奇怪的内容。你也应该保证在另一台机器上的服务器在你正在安装数据库表时不访问它们。

3 复制数据库（Replicating Database）
复制（Replication）类似于拷贝数据库到另一台服务器上，但它的确切含义是实时地保证两个数据库的完全同步。这个功能将在3.23版中出现，而且还不很成熟，因此本文不作详细介绍。

4 用备份恢复数据
数据库损坏的发生有很多原因，程度也不同。如果你走运，你可能仅损坏一两个表（如掉电），如果你倒霉，你可能必须替换整个数据目录（如磁盘损坏）。在某些情况下也需要恢复，比如用户错误地删除了数据库或表。不管这些倒霉事件的原因，你将需要实施某种恢复。

如果表损坏但没丢失，尝试用myisamchk或isamchk修复它们，如果这样的损坏可有修复程序修复，你可能根本不需要使用备份文件。关于表修复的过程，见《数据库维护与修复》。

恢复过程涉及两种信息源：你的备份文件和个更新日志。备份文件将表恢复到实施备份时的状态，然而一般表在备份与发生问题之间的时间内已经被修改，更新日志包含了用于进行这些修改的查询。你可以使用日志文件作为mysql的输入来重复查询。这已正是为什么要启用更新日志的原因。

恢复过程视你必须恢复的信息多少而不同。实际上，恢复整个数据库比单个表跟容易，因为对于数据库运用更新日志比单个表容易。

4.1 恢复整个数据库
首先，如果你想恢复的数据库是包含授权表的mysql数据库，你需要用--skip-grant-table选项运行服务器。否则，它会抱怨不能找到授权表。在你已经恢复表后，执行mysqladmin flush-privileges告诉服务器装载授权标并使用它们。

将数据库目录内容拷贝到其它某个地方，如果你在以后需要它们。
用最新的备份文件重装数据库。如果你用mysqldump产生的文件，将它作为mysql的输入。如果你用直接从数据库拷贝来的文件，将它们直接拷回数据库目录，然而，此时你需要在拷贝文件之前关闭数据库，然后重启它。
使用更新日志重复做备份以后的修改数据库表的查询。对于任何可适用的更新日志，将它们作为mysql的输入。指定--one-database选项使得mysql只执行你有兴趣恢复的数据库的查询。如果你知道你需要运用所有更新日志文件，你可以在包含日志的目录下使用这条命令：

% ls -t -r -1 update.[0-9]* | xargs cat | mysql --one-database db_name
ls命令生成更新日志文件的一个单列列表，根据服务器产生它们的次序排序（主意：如果你修改任何一个文件，你将改变排序次序，这导致更新日志一错误的次序被运用。）

很可能你会是运用某几个更新日志。例如，自从你备份以来产生的更新日志被命名为update.392、update.393等等，你可以这样重新运行：

%mysql --one-database db_name < update.392
%mysql --one-database db_name < update.393
.....

如果你正在实施恢复且使用更新日志恢复由于一个错误建议的DROP DATABASE、DROP TABLE或DELETE语句造成丢失的信息，在运用更新日志之前，要保证从其中删除这些语句。

4.2 恢复单个表
恢复单个表较为复杂。如果你用一个由mysqldump生成的备份文件，并且它不包含你感兴趣的表的数据，你需要从相关行中提取它们并将它们用作mysql的输入。这是容易的部分。难的部分是从只运用于该表的更新日志中拉出片断。你会发觉mysql_find_rows实用程序对此很有帮助，它从更新日志中提取多行查询。

另一个可能性是使用另一台服务器恢复整个数据库，然后拷贝你想要的表文件到原数据库中。这可能真的很容易！当你将文件拷回数据库目录时，要确保原数据库的服务器关闭。

MySQL管理员应该知道如何设置MySQL用户账号，指出哪个用户可以连接服务器，从哪里连接，连接后能做什么。MySQL 3.22.11开始引入两条语句使得这项工作更容易做：GRANT语句创建MySQL用户并指定其权限，而REVOKE语句删除权限。两条语句扮演了mysql数据库的前端角色，并提供与直接操作这些表的内容不同的另一种方法。CREATE和REVOKE语句影响4个表：
授权表 内容

user 能连接服务器的用户以及他们拥有的任何全局权限
db 数据库级权限
tables_priv 表级权限
columns_priv 列级权限

还有第5个授权表（host），但它不受GRANT和REVOKE的影响。

当你对一个用户发出一条GRANT语句时，在user表中为该用户创建一条记录。如果语句指定任何全局权限（管理权限或适用于所有数据库的权限），这些也记录在user表中。如果你指定数据库、表和列级权限，他们被分别记录在db、tables_priv和columns_priv表中。

用GRANT和REVOKE比直接修改授权表更容易些，然而，建议你阅读一下《MySQL安全性指南》。这些表异常重要，而且作为一名管理员，你应该理解它们如何超越GRANT和REVOKE语句的功能水平。

在下面的章节中，我们将介绍如何设置MySQL用户账号并授权。我们也涉及如何撤权和从授权表中删除用户。

你可能也想考虑使用mysqlaccess和mysql_setpermission脚本，它是MySQL分发的一部分，它们是Perl脚本，提供GRANT语句的另一种选择设置用户账号。mysql_setpermission需要安装DBI支持。

1 创建用户并授权
GRANT语句的语法看上去像这样：

GRANT privileges (columns)
  ON what
  TO user IDENTIFIED BY "password"
  WITH GRANT OPTION　
要使用该语句，你需要填写下列部分：

privileges
授予用户的权限，下表列出可用于GRANT语句的权限指定符：

权限指定符
权限允许的操作

ALTER 修改表和索引
CREATE 创建数据库和表
DELETE 删除表中已有的记录
DROP 抛弃（删除）数据库和表
INDEX 创建或抛弃索引
INSERT 向表中插入新行
REFERENCE 未用
SELECT 检索表中的记录
UPDATE 修改现存表记录
FILE 读或写服务器上的文件
PROCESS 查看服务器中执行的线程信息或杀死线程
RELOAD 重载授权表或清空日志、主机缓存或表缓存。
SHUTDOWN 关闭服务器
ALL 所有；ALL PRIVILEGES同义词
USAGE 特殊的“无权限”权限

上表显示在第一组的权限指定符适用于数据库、表和列，第二组数管理权限。一般，这些被相对严格地授权，因为它们允许用户影响服务器的操作。第三组权限特殊，ALL意味着“所有权限”，UASGE意味着无权限，即创建用户，但不授予权限。

columns
权限运用的列，它是可选的，并且你只能设置列特定的权限。如果命令有多于一个列，应该用逗号分开它们。

what
权限运用的级别。权限可以是全局的（适用于所有数据库和所有表）、特定数据库（适用于一个数据库中的所有表）或特定表的。可以通过指定一个columns字句是权限是列特定的。

user
权限授予的用户，它由一个用户名和主机名组成。在MySQL中，你不仅指定谁能连接，还有从哪里连接。这允许你让两个同名用户从不同地方连接。MySQL让你区分他们，并彼此独立地赋予权限。

MySQL中的一个用户名就是你连接服务器时指定的用户名，该名字不必与你的Unix登录名或Windows名联系起来。缺省地，如果你不明确指定一个名字，客户程序将使用你的登录名作为MySQL用户名。这只是一个约定。你可以在授权表中将该名字改为nobody，然后以nobody连接执行需要超级用户权限的操作。

password
赋予用户的口令，它是可选的。如果你对新用户没有指定IDENTIFIED BY子句，该用户不赋给口令（不安全）。对现有用户，任何你指定的口令将代替老口令。如果你不指定口令，老口令保持不变，当你用IDENTIFIED BY时，口令字符串用改用口令的字面含义，GRANT将为你编码口令，不要象你用SET PASSWORD 那样使用password()函数。

WITH GRANT OPTION子句是可选的。如果你包含它，用户可以授予权限通过GRANT语句授权给其它用户。你可以用该子句给与其它用户授权的能力。

用户名、口令、数据库和表名在授权表记录中是大小写敏感的，主机名和列名不是。

一般地，你可以通过询问几个简单的问题来识别GRANT语句的种类：

谁能连接，从那儿连接？
用户应该有什么级别的权限，他们适用于什么？
用户应该允许管理权限吗？
下面就讨论一些例子。

1.1 谁能连接，从那儿连接？
你可以允许一个用户从特定的或一系列主机连接。有一个极端，如果你知道降职从一个主机连接，你可以将权限局限于单个主机：

GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"
GRANT ALL ON samp_db.* TO fred@res.mars.com IDENTIFIED BY "quartz"
(samp_db.*意思是“samp_db数据库的所有表)另一个极端是，你可能有一个经常旅行并需要能从世界各地的主机连接的用户max。在这种情况下，你可以允许他无论从哪里连接：

GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond"
“%”字符起通配符作用，与LIKE模式匹配的含义相同。在上述语句中，它意味着“任何主机”。所以max和max@%等价。这是建立用户最简单的方法，但也是最不安全的。

取其中，你可以允许一个用户从一个受限的主机集合访问。例如，要允许mary从snake.net域的任何主机连接，用一个%.snake.net主机指定符：

GRANT ALL ON samp_db.* TO mary@.snake.net IDENTIFIED BY "quartz";
如果你喜欢，用户标识符的主机部分可以用IP地址而不是一个主机名来给定。你可以指定一个IP地址或一个包含模式字符的地址，而且，从MySQL 3.23，你还可以指定具有指出用于网络号的位数的网络掩码的IP号：

  GRANT ALL ON samp_db.* TO boris@192.168.128.3 IDENTIFIED BY "ruby"
  GRANT ALL ON samp_db.* TO fred@192.168.128.% IDENTIFIED BY "quartz"
  GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIED BY "ruby"
第一个例子指出用户能从其连接的特定主机，第二个指定对于C类子网192.168.128的IP模式，而第三条语句中，192.168.128.0/17指定一个17位网络号并匹配具有192.168.128头17位的IP地址。　

如果MySQL抱怨你指定的用户值，你可能需要使用引号（只将用户名和主机名部分分开加引号）。

GRANT ALL ON samp_db.president TO "my friend"@"boa.snake.net"
1.2 用户应该有什么级别的权限和它们应该适用于什么？
你可以授权不同级别的权限，全局权限是最强大的，因为它们适用于任何数据库。要使ethel成为可做任何事情的超级用户，包括能授权给其它用户，发出下列语句：

GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION
ON子句中的*.*意味着“所有数据库、所有表”。从安全考虑，我们指定ethel只能从本地连接。限制一个超级用户可以连接的主机通常是明智的，因为它限制了试图破解口令的主机。

有些权限（FILE、PROCESS、RELOAD和SHUTDOWN）是管理权限并且只能用"ON *.*"全局权限指定符授权。如果你愿意，你可以授权这些权限，而不授权数据库权限。例如，下列语句设置一个flush用户，他只能发出flush语句。这可能在你需要执行诸如清空日志等的管理脚本中会有用：

GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass"
一般地，你想授权管理权限，吝啬点，因为拥有它们的用户可以影响你的服务器的操作。

数据库级权限适用于一个特定数据库中的所有表，它们可通过使用ON db_name.*子句授予：

GRANT ALL ON samp_db TO bill@racer.snake.net INDETIFIED BY "rock"
  GRANT SELECT ON samp_db TO ro_user@% INDETIFIED BY "rock"
第一条语句向bill授权samp_db数据库中所有表的权限，第二条创建一个严格限制访问的用户ro_user（只读用户），只能访问samp_db数据库中的所有表，但只有读取，即用户只能发出SELECT语句。

你可以列出一系列同时授予的各个权限。例如，如果你想让用户能读取并能修改现有数据库的内容，但不能创建新表或删除表，如下授予这些权限：

GRANT SELECT,INSERT,DELETE,UPDATE ON samp_db TO bill@snake.net INDETIFIED BY "rock"
对于更精致的访问控制，你可以在各个表上授权，或甚至在表的每个列上。当你想向用户隐藏一个表的部分时，或你想让一个用户只能修改特定的列时，列特定权限非常有用。如：

GRANT SELECT ON samp_db.member TO bill@localhost INDETIFIED BY "rock"
GRANT UPDATE (expiration) ON samp_db. member TO bill@localhost
第一条语句授予对整个member表的读权限并设置了一个口令，第二条语句增加了UPDATE权限，当只对expiration列。没必要再指定口令，因为第一条语句已经指定了。

如果你想对多个列授予权限，指定一个用逗号分开的列表。例如，对assistant用户增加member表的地址字段的UPDATE权限，使用如下语句，新权限将加到用户已有的权限中：

GRANT UPDATE (street,city,state,zip) ON samp_db TO assistant@localhost

通常，你不想授予任何比用户确实需要的权限宽的权限。然而，当你想让用户能创建一个临时表以保存中间结果，但你又不想让他们在一个包含他们不应修改内容的数据库中这样做时，发生了要授予在一个数据库上的相对宽松的权限。你可以通过建立一个分开的数据库（如tmp）并授予开数据库上的所有权限来进行。例如，如果你想让来自mars.net域中主机的任何用户使用tmp数据库，你可以发出这样的GRANT语句：

GRANT ALL ON tmp.* TO ""@mars.net

在你做完之后，用户可以创建并用tmp.tbl_name形式引用tmp中的表（在用户指定符中的""创建一个匿名用户，任何用户均匹配空白用户名）。

1.3 用户应该被允许管理权限吗？
你可以允许一个数据库的拥有者通过授予数据库上的所有拥有者权限来控制数据库的访问，在授权时，指定WITH GRANT OPTION。例如：如果你想让alicia能从big.corp.com域的任何主机连接并具有sales数据库中所有表的管理员权限，你可以用如下GRANT语句：

GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION

在效果上WITH GRANT OPTION子句允许你把访问授权的权利授予另一个用户。要注意，拥有GRANT权限的两个用户可以彼此授权。如果你只给予了第一个用户SELECT权限，而另一个用户有GRANT加上SELECT权限，那么第二个用户可以是第一个用户更“强大”。

2 撤权并删除用户
要取消一个用户的权限，使用REVOKE语句。REVOKE的语法非常类似于GRANT语句，除了TO用FROM取代并且没有INDETIFED BY和WITH GRANT OPTION子句：

REVOKE privileges (columns) ON what FROM user

user部分必须匹配原来GRANT语句的你想撤权的用户的user部分。privileges部分不需匹配，你可以用GRANT语句授权，然后用REVOKE语句只撤销部分权限。

REVOKE语句只删除权限，而不删除用户。即使你撤销了所有权限，在user表中的用户记录依然保留，这意味着用户仍然可以连接服务器。要完全删除一个用户，你必须用一条DELETE语句明确从user表中删除用户记录：

%mysql -u root mysql
mysql>DELETE FROM user
  ->WHERE User="user_name" and Host="host_name";
mysql>FLUSH PRIVILEGES;　
DELETE语句删除用户记录，而FLUSH语句告诉服务器重载授权表。（当你使用GRANT和REVOKE语句时，表自动重载，而你直接修改授权表时不是。）

从这里进入目录
0 译者序
　　MySQL是一个精巧的SQL数据库管理系统，虽然它不是开放源代码的产品，但在某些情况下你可以自由使用。由于它的强大功能、灵活性、丰富的应用编程接口（API）以及精巧的系统结构，受到了广大自由软件爱好者甚至是商业软件用户的青睐，特别是与Apache和PHP/PERL结合，为建立基于数据库的动态网站提供了强大动力。

　　MySQL有瑞典的T.c.X公司负责开发和维护，MySQL的用户手册很单纯，只有一个集中的<MySQL Reference Manual>，但其内容覆盖了MySQL的所有信息，因此该手册是了解和掌握MySQL的绝佳文献。

　　虽然对MySQL的开发不能出一份力，但可为它的推广使用尽一份心，面对500多页的参考手册，知道要精确译出它决非易事，但愿几个月的心血能为大家提供一丝微薄的帮助。

　　由于本人水平有限，文中肯定有不准确的地方，敬请在阅读过程中不吝指出。文中不明之处，请参阅手册原文。

　　本文的内容针对MySQL 3.23.7alpla，实际上很多内容是通用的。

　　MySQL官方站点：http://www.mysql.com.

　　最新参考手册：http://www.mysql.com/doc.html

一、我们可以且应该优化什么？

硬件

操作系统/软件库

SQL服务器(设置和查询)

应用编程接口(API)

应用程序


--------------------------------------------------------------------------------

二、优化硬件

如果你需要庞大的数据库表(>2G)，你应该考虑使用64位的硬件结构，像Alpha、Sparc或即将推出的IA64。因为MySQL内部使用大量64位的整数，64位的CPU将提供更好的性能。

对大数据库，优化的次序一般是RAM、快速硬盘、CPU能力。

更多的内存通过将最常用的键码页面存放在内存中可以加速键码的更新。

如果不使用事务安全(transaction-safe)的表或有大表并且想避免长文件检查，一台UPS就能够在电源故障时让系统安全关闭。

对于数据库存放在一个专用服务器的系统，应该考虑1G的以太网。延迟与吞吐量同样重要。


--------------------------------------------------------------------------------

三、优化磁盘

为系统、程序和临时文件配备一个专用磁盘，如果确是进行很多修改工作，将更新日志和事务日志放在专用磁盘上。
低寻道时间对数据库磁盘非常重要。对与大表，你可以估计你将需要log(行数)/log(索引块长度/3*2/(键码长度 + 数据指针长度))+1次寻到才能找到一行。对于有500000行的表，索引Mediun int类型的列，需要log(500000) / log(1024/3*2/(3 + 2))+1=4次寻道。上述索引需要500000*7*3/2=5.2M的空间。实际上，大多数块将被缓存，所以大概只需要1-2次寻道。
然而对于写入（如上），你将需要4次寻道请求来找到在哪里存放新键码，而且一般要2次寻道来更新索引并写入一行。
对于非常大的数据库，你的应用将受到磁盘寻道速度的限制，随着数据量的增加呈N log N数据级递增。
将数据库和表分在不同的磁盘上。在MySQL中，你可以为此而使用符号链接。
条列磁盘(RAID 0)将提高读和写的吞吐量。
带镜像的条列(RAID 0+1)将更安全并提高读取的吞吐量。写入的吞吐量将有所降低。
不要对临时文件或可以很容易地重建的数据所在的磁盘使用镜像或RAID(除了RAID 0)。
在Linux上，在引导时对磁盘使用命令hdparm -m16 -d1以启用同时读写多个扇区和DMA功能。这可以将响应时间提高5~50%。
在Linux上，用async (默认)和noatime挂载磁盘(mount)。
对于某些特定应用，可以对某些特定表使用内存磁盘，但通常不需要。

--------------------------------------------------------------------------------

四、优化操作系统

不要交换区。如果内存不足，增加更多的内存或配置你的系统使用较少内存。
不要使用NFS磁盘(会有NFS锁定的问题)。
增加系统和MySQL服务器的打开文件数量。(在safe_mysqld脚本中加入ulimit -n #)。
增加系统的进程和线程数量。
如果你有相对较少的大表，告诉文件系统不要将文件打碎在不同的磁道上(Solaris)。
使用支持大文件的文件系统(Solaris)。
选择使用哪种文件系统。在Linux上的Reiserfs对于打开、读写都非常快。文件检查只需几秒种。

--------------------------------------------------------------------------------

五、选择应用编程接口

PERL
可在不同的操作系统和数据库之间移植。
适宜快速原型。
应该使用DBI/DBD接口。
PHP
比PERL易学。
使用比PERL少的资源。
通过升级到PHP4可以获得更快的速度。
C
MySQL的原生接口。
较快并赋予更多的控制。
低层，所以必须付出更多。
C++
较高层次，给你更多的时间来编写应用。
仍在开发中
ODBC
运行在Windows和Unix上。
几乎可在不同的SQL服务器间移植。
较慢。MyODBC只是简单的直通驱动程序，比用原生接口慢19%。
有很多方法做同样的事。很难像很多ODBC驱动程序那样运行，在不同的领域还有不同的错误。
问题成堆。Microsoft偶尔还会改变接口。
不明朗的未来。(Microsoft更推崇OLE而非ODBC)
ODBC
运行在Windows和Unix上。
几乎可在不同的SQL服务器间移植。
较慢。MyODBC只是简单的直通驱动程序，比用原生接口慢19%。
有很多方法做同样的事。很难像很多ODBC驱动程序那样运行，在不同的领域还有不同的错误。
问题成堆。Microsoft偶尔还会改变接口。
不明朗的未来。(Microsoft更推崇OLE而非ODBC)
JDBC
理论上可在不同的操作系统何时据库间移植。
可以运行在web客户端。
Python和其他
可能不错，可我们不用它们。

--------------------------------------------------------------------------------

六、优化应用

应该集中精力解决问题。
在编写应用时，应该决定什么是最重要的：
速度
操作系统间的可移植性
SQL服务器间的可移植性
使用持续的连接。.
缓存应用中的数据以减少SQL服务器的负载。
不要查询应用中不需要的列。
不要使用SELECT * FROM table_name...
测试应用的所有部分，但将大部分精力放在在可能最坏的合理的负载下的测试整体应用。通过以一种模块化的方式进行，你应该能用一个快速“哑模块”替代找到的瓶颈，然后很容易地标出下一个瓶颈。
如果在一个批处理中进行大量修改，使用LOCK TABLES。例如将多个UPDATES或DELETES集中在一起。

--------------------------------------------------------------------------------

七、应该使用可移植的应用

Perl DBI/DBD
ODBC
JDBC
Python(或其他有普遍SQL接口的语言)
你应该只使用存在于所有目的SQL服务器中或可以很容易地用其他构造模拟的SQL构造www.mysql.com上的Crash-me页可以帮助你。
为操作系统/SQL服务器编写包装程序来提供缺少的功能。

--------------------------------------------------------------------------------

八、如果你需要更快的速度，你应该：

找出瓶颈(CPU、磁盘、内存、SQL服务器、操作系统、API或应用)并集中全力解决。
使用给予你更快速度/灵活性的扩展。
逐渐了解SQL服务器以便能为你的问题使用可能最快的SQL构造并避免瓶颈。
优化表布局和查询。
使用复制以获得更快的选择(select)速度。
如果你有一个慢速的网络连接数据库，使用压缩客户/服务器协议。
不要害怕时应用的第一个版本不能完美地移植，在你解决问题时，你总是可以在以后优化它。


--------------------------------------------------------------------------------

九、优化MySQL

挑选编译器和编译选项。
位你的系统寻找最好的启动选项。
通读MySQL参考手册并阅读Paul DuBios的《MySQL》一书。(已有中文版-译注)
多用EXPLAIN SELECT、SHOW VARIABLES、SHOW STATUS和SHOW PROCESSLIST。
了解查询优化器的工作原理。
优化表的格式。
维护你的表(myisamchk、CHECK TABLE、 OPTIMIZE TABLE)
使用MySQL的扩展功能以让一切快速完成。
如果你注意到了你将在很多场合需要某些函数，编写MySQL UDF函数。
不要使用表级或列级的GRANT，除非你确实需要。
购买MySQL技术支持以帮助你解决问题

--------------------------------------------------------------------------------

十、编译和安装MySQL

通过位你的系统挑选可能最好的编译器，你通常可以获得10-30%的性能提高。
在Linux/Intel平台上，用pgcc(gcc的奔腾芯片优化版)编译MySQL。然而，二进制代码将只能运行在Intel奔腾CPU上。
对于一种特定的平台，使用MySQL参考手册上推荐的优化选项。
一般地，对特定CPU的原生编译器(如Sparc的Sun Workshop)应该比gcc提供更好的性能，但不总是这样。
用你将使用的字符集编译MySQL。
静态编译生成mysqld的执行文件(用--with-mysqld-ldflags=all-static)并用strip sql/mysqld整理最终的执行文件。
注意，既然MySQL不使用C++扩展，不带扩展支持编译MySQL将赢得巨大的性能提高。
如果操作系统支持原生线程，使用原生线程(而不用mit-pthreads)。
用MySQL基准测试来测试最终的二进制代码。

--------------------------------------------------------------------------------

十一、维护

如果可能，偶尔运行一下OPTIMIZE table，这对大量更新的变长行非常重要。
偶尔用myisamchk -a更新一下表中的键码分布统计。记住在做之前关掉MySQL。
如果有碎片文件，可能值得将所有文件复制到另一个磁盘上，清除原来的磁盘并拷回文件。
如果遇到问题，用myisamchk或CHECK table检查表。
用mysqladmin -i10 precesslist extended-status监控MySQL的状态。
用MySQL GUI客户程序，你可以在不同的窗口内监控进程列表和状态。
使用mysqladmin debug获得有关锁定和性能的信息。

--------------------------------------------------------------------------------

十二、优化SQL

扬SQL之长，其它事情交由应用去做。使用SQL服务器来做：

找出基于WHERE子句的行。
JOIN表
GROUP BY
ORDER BY
DISTINCT

不要使用SQL来做：

检验数据(如日期)
成为一只计算器

技巧：

明智地使用键码。
键码适合搜索，但不适合索引列的插入/更新。
保持数据为数据库第三范式，但不要担心冗余信息或这如果你需要更快的速度，创建总结表。
在大表上不做GROUP BY，相反创建大表的总结表并查询它。
UPDATE table set count=count+1 where key_column=constant非常快。
对于大表，或许最好偶尔生成总结表而不是一直保持总结表。
充分利用INSERT的默认值。