GRANT 陳述式可讓系統管理員授與權限和角色，這些權限和角色可以授與使用者帳戶和角色。下列是適用的語法限制：

如需有關角色的詳細資訊，請參閱第 8.2.10 節「使用角色」。

若要使用 GRANT 授與權限，您必須具有 GRANT OPTION 權限，並且必須具有您正在授與的權限。(或者，如果您具有 mysql 系統結構描述中授與表格的 UPDATE 權限，則可以授與任何帳戶任何權限。)啟用 read_only 系統變數時，GRANT 還需要 CONNECTION_ADMIN 權限 (或已棄用的 SUPER 權限)。

GRANT 會針對所有具名的使用者和角色成功，如果發生任何錯誤，則會回復且不會生效。只有當陳述式針對所有具名的使用者和角色成功時，才會寫入二進位日誌。

REVOKE 陳述式與 GRANT 有關，並讓管理員能夠移除帳戶權限。請參閱第 15.7.1.8 節「REVOKE 陳述式」。

每個帳戶名稱都使用第 8.2.4 節「指定帳戶名稱」中所述的格式。每個角色名稱都使用第 8.2.5 節「指定角色名稱」中所述的格式。例如：

GRANT ALL ON db1.* TO 'jeffrey'@'localhost';
GRANT 'role1', 'role2' TO 'user1'@'localhost', 'user2'@'localhost';
GRANT SELECT ON world.* TO 'role3';

如果省略帳戶或角色名稱的主機名稱部分，則預設為 '%'。

通常，資料庫管理員會先使用 CREATE USER 來建立帳戶，並定義其非權限特性，例如其密碼、是否使用安全連線以及存取伺服器資源的限制，然後使用 GRANT 來定義其權限。可以使用 ALTER USER 來變更現有帳戶的非權限特性。例如：

CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'password';
GRANT ALL ON db1.* TO 'jeffrey'@'localhost';
GRANT SELECT ON db2.invoice TO 'jeffrey'@'localhost';
ALTER USER 'jeffrey'@'localhost' WITH MAX_QUERIES_PER_HOUR 90;

從 mysql 程式，當 GRANT 成功執行時，會以 Query OK, 0 rows affected 回應。若要判斷作業產生的權限為何，請使用 SHOW GRANTS。請參閱第 15.7.7.22 節「SHOW GRANTS 陳述式」。

GRANT 支援長度最多 255 個字元的主機名稱。使用者名稱最多可為 32 個字元。資料庫、資料表、欄位和常式名稱最多可為 64 個字元。

GRANT 陳述式中的數個物件都需要引用，雖然在許多情況下引用是選擇性的：帳戶、角色、資料庫、資料表、欄位和常式名稱。例如，如果帳戶名稱中的 user_name 或 host_name 值可以作為未引用的識別碼，則您不需要引用它。不過，必須使用引號來指定包含特殊字元 (例如 -) 的 user_name 字串，或包含特殊字元或萬用字元 (例如 %) 的 host_name 字串 (例如，'test-user'@'%.com')。請分別引用使用者名稱和主機名稱。

若要指定引用的值：

如需字串引用和識別碼引用準則，請參閱第 11.1.1 節「字串常值」和第 11.2 節「結構描述物件名稱」。

當在 GRANT 陳述式中指定資料庫層級的權限時 (GRANT ... ON db_name.*)，允許使用 _ 和 % 萬用字元。這表示，例如，若要使用 _ 字元作為資料庫名稱的一部分，請在 GRANT 陳述式中使用 \ 跳脫字元，將其指定為 \_，以防止使用者能夠存取其他符合萬用字元模式的資料庫 (例如，GRANT ... ON `foo\_bar`.* TO ...)。

發出多個包含萬用字元的 GRANT 陳述式可能不會對 DML 陳述式產生預期的效果；當解析包含萬用字元的授與時，MySQL 只會考慮第一個符合的授與。換句話說，如果使用者有兩個使用萬用字元且符合相同資料庫的資料庫層級授與，則會套用首先建立的授與。請考慮使用此處顯示的陳述式建立的資料庫 db 和資料表 t：

mysql> CREATE DATABASE db;
Query OK, 1 row affected (0.01 sec)

mysql> CREATE TABLE db.t (c INT);
Query OK, 0 rows affected (0.01 sec)

mysql> INSERT INTO db.t VALUES ROW(1);
Query OK, 1 row affected (0.00 sec)

接下來 (假設目前帳戶是 MySQL root 帳戶或另一個具有必要權限的帳戶)，我們建立使用者 u，然後發出兩個包含萬用字元的 GRANT 陳述式，如下所示：

mysql> CREATE USER u;
Query OK, 0 rows affected (0.01 sec)

mysql> GRANT SELECT ON `d_`.* TO u;
Query OK, 0 rows affected (0.01 sec)

mysql> GRANT INSERT ON `d%`.* TO u;
Query OK, 0 rows affected (0.00 sec)

mysql> EXIT

Bye

如果我們結束工作階段，然後使用 mysql 用戶端再次登入，這次以 u 登入，我們可以看到此帳戶僅具有第一個符合授與所提供的權限，但沒有第二個授與：

$> mysql -uu -hlocalhost

Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 10
Server version: 9.1.0-tr Source distribution

Copyright (c) 2000, 2023, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input
statement.

mysql> TABLE db.t;
+------+
| c    |
+------+
|    1 |
+------+
1 row in set (0.00 sec)

mysql> INSERT INTO db.t VALUES ROW(2);
ERROR 1142 (42000): INSERT command denied to user 'u'@'localhost' for table 't'

在權限指派中，在下列情況下，MySQL 會將資料庫名稱中未跳脫的 _ 和 % SQL 萬用字元視為常值字元：

GRANT 陳述式中的 user 值表示此陳述式適用的 MySQL 帳戶。為了容納從任意主機授與權限給使用者，MySQL 支援以 'user_name'@'host_name' 的形式指定 user 值。

您可以在主機名稱中指定萬用字元。例如，'user_name'@'%.example.com' 適用於 example.com 網域中任何主機的 user_name，而 'user_name'@'198.51.100.%' 適用於 198.51.100 C 類子網路中任何主機的 user_name。

簡化的形式 'user_name' 是 'user_name'@'%' 的同義詞。

MySQL 不支援使用者名稱中的萬用字元。若要參照匿名使用者，請使用 GRANT 陳述式指定一個使用者名稱為空的帳戶

GRANT ALL ON test.* TO ''@'localhost' ...;

在這種情況下，任何從本機主機連線且具有匿名使用者正確密碼的使用者都允許存取，並擁有與匿名使用者帳戶相關聯的權限。

關於帳戶名稱中的使用者名稱和主機名稱值的更多資訊，請參閱 第 8.2.4 節「指定帳戶名稱」。

SELECT Host, User FROM mysql.user WHERE User='';

DROP USER ''@'localhost';

下表總結了可以為 GRANT 和 REVOKE 陳述式指定的允許的靜態和動態 priv_type 權限類型，以及每個權限可以被授予的層級。關於每個權限的更多資訊，請參閱 第 8.2.2 節「MySQL 提供的權限」。關於靜態權限和動態權限之間的差異，請參閱 靜態權限與動態權限。

觸發程序與資料表相關聯。若要建立或捨棄觸發程序，您必須具有資料表的 TRIGGER 權限，而不是觸發程序的權限。

在 GRANT 陳述式中，ALL [PRIVILEGES] 或 PROXY 權限必須單獨命名，且不能與其他權限一起指定。ALL [PRIVILEGES] 代表在要授與權限的層級可用的所有權限，但 GRANT OPTION 和 PROXY 權限除外。

MySQL 帳戶資訊儲存在 mysql 系統綱要的資料表中。如需更多詳細資訊，請參閱 第 8.2 節「存取控制和帳戶管理」，其中廣泛討論了 mysql 系統綱要和存取控制系統。

如果授與資料表包含包含大小寫混合的資料庫或資料表名稱的權限列，且 lower_case_table_names 系統變數設定為非零值，則無法使用 REVOKE 撤銷這些權限。在這種情況下，必須直接操作授與資料表。（當 lower_case_table_names 設定時，GRANT 不會建立這類列，但可能在設定該變數之前已建立這類列。lower_case_table_names 設定只能在伺服器啟動時設定。）

可以根據用於 ON 子句的語法，在多個層級授與權限。對於 REVOKE，相同的 ON 語法會指定要移除的權限。

對於全域、資料庫、資料表和常式層級，GRANT ALL 只會指派您要授與的層級上存在的權限。例如，GRANT ALL ON db_name.* 是資料庫層級陳述式，因此它不會授與任何僅限全域的權限，例如 FILE。授與 ALL 不會指派 GRANT OPTION 或 PROXY 權限。

如果存在 object_type 子句，當以下物件是資料表、已儲存的函數或已儲存的程序時，應該指定為 TABLE、FUNCTION 或 PROCEDURE。

使用者針對資料庫、資料表、資料行或常式擁有的權限是以累加方式，形成每個權限層級的帳戶權限的邏輯 OR，包括全域層級。無法藉由較低層級缺少該權限來拒絕較高層級授與的權限。例如，此陳述式會全域授與 SELECT 和 INSERT 權限

GRANT SELECT, INSERT ON *.* TO u1;

全域授與的權限適用於所有資料庫、資料表和資料行，即使未在任何較低的層級授與也是如此。

如果啟用 partial_revokes 系統變數，則可以藉由撤銷特定資料庫的權限來明確拒絕全域層級授與的權限

GRANT SELECT, INSERT, UPDATE ON *.* TO u1;
REVOKE INSERT, UPDATE ON db1.* FROM u1;

前述陳述式的結果是，SELECT 全域適用於所有資料表，而 INSERT 和 UPDATE 全域適用，但 db1 中的資料表除外。db1 的帳戶存取權是唯讀的。

權限檢查程序的詳細資訊在 第 8.2.7 節「存取控制，階段 2：要求驗證」中提供。

如果您為一個使用者使用資料表、資料行或常式權限，伺服器會檢查所有使用者的資料表、資料行和常式權限，這會稍微減慢 MySQL 的速度。同樣地，如果您限制任何使用者的查詢、更新或連線數量，伺服器必須監控這些值。

MySQL 可讓您授與不存在的資料庫或資料表的權限。對於資料表，要授與的權限必須包括 CREATE 權限。此行為是設計使然，目的是讓資料庫管理員能夠為稍後建立的資料庫或資料表準備使用者帳戶和權限。

全域權限是管理性的，或適用於給定伺服器上的所有資料庫。若要指派全域權限，請使用 ON *.* 語法

GRANT ALL ON *.* TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON *.* TO 'someuser'@'somehost';

CREATE TABLESPACE、CREATE USER、FILE、PROCESS、RELOAD、REPLICATION CLIENT、REPLICATION SLAVE、SHOW DATABASES、SHUTDOWN 和 SUPER 靜態權限是管理性的，且只能全域授與。

動態權限都是全域的，且只能全域授與。

其他權限可以在全域或更特定的層級授與。

在全域層級授與的 GRANT OPTION 的效果對於靜態和動態權限有所不同

全域層級的 GRANT ALL 會授與所有靜態全域權限和所有目前已註冊的動態權限。GRANT 陳述式執行後註冊的動態權限不會追溯授與任何帳戶。

MySQL 將全域權限儲存在 mysql.user 系統資料表中。

資料庫權限適用於給定資料庫中的所有物件。若要指派資料庫層級權限，請使用 ON db_name.* 語法

GRANT ALL ON mydb.* TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON mydb.* TO 'someuser'@'somehost';

如果您使用 ON * 語法（而不是 ON *.*），權限會在預設資料庫的資料庫層級指派。如果沒有預設資料庫，則會發生錯誤。

CREATE、DROP、EVENT、GRANT OPTION、LOCK TABLES 和 REFERENCES 權限可以在資料庫層級指定。資料表或常式權限也可以在資料庫層級指定，在這種情況下，它們適用於資料庫中的所有資料表或常式。

MySQL 將資料庫權限儲存在 mysql.db 系統資料表中。

資料表權限適用於給定資料表中的所有資料行。若要指派資料表層級權限，請使用 ON db_name.tbl_name 語法

GRANT ALL ON mydb.mytbl TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON mydb.mytbl TO 'someuser'@'somehost';

如果您指定 tbl_name 而不是 db_name.tbl_name，則陳述式會套用至預設資料庫中的 tbl_name。如果沒有預設資料庫，則會發生錯誤。

在資料表層級可接受的 priv_type 值為 ALTER、CREATE VIEW、CREATE、DELETE、DROP、GRANT OPTION、INDEX、INSERT、REFERENCES、SELECT、SHOW VIEW、TRIGGER 和 UPDATE。

資料表層級權限適用於基礎資料表和檢視。它們不適用於使用 CREATE TEMPORARY TABLE 建立的資料表，即使資料表名稱相符也是如此。如需有關 TEMPORARY 資料表權限的資訊，請參閱 第 15.1.20.2 節「CREATE TEMPORARY TABLE 陳述式」。

MySQL 將資料表權限儲存在 mysql.tables_priv 系統資料表中。

欄位權限適用於指定表格中的單一欄位。在欄位層級授予的每個權限都必須後接括號內的欄位或多個欄位。

GRANT SELECT (col1), INSERT (col1, col2) ON mydb.mytbl TO 'someuser'@'somehost';

欄位的可允許 priv_type 值（也就是當您使用 column_list 子句時）為 INSERT、REFERENCES、SELECT 和 UPDATE。

MySQL 將欄位權限儲存在 mysql.columns_priv 系統表格中。

ALTER ROUTINE、CREATE ROUTINE、EXECUTE 和 GRANT OPTION 權限適用於預存常式（程序和函式）。它們可以在全域和資料庫層級授予。除了 CREATE ROUTINE 之外，這些權限可以在個別常式的常式層級授予。

GRANT CREATE ROUTINE ON mydb.* TO 'someuser'@'somehost';
GRANT EXECUTE ON PROCEDURE mydb.myproc TO 'someuser'@'somehost';

常式層級的可允許 priv_type 值為 ALTER ROUTINE、EXECUTE 和 GRANT OPTION。CREATE ROUTINE 不是常式層級的權限，因為您必須先在全域或資料庫層級擁有該權限才能建立常式。

MySQL 將常式層級權限儲存在 mysql.procs_priv 系統表格中。

PROXY 權限可讓一個使用者成為另一個使用者的代理。代理使用者會模擬或取得被代理使用者的身分；也就是說，它會承擔被代理使用者的權限。

GRANT PROXY ON 'localuser'@'localhost' TO 'externaluser'@'somehost';

當授予 PROXY 時，它必須是 GRANT 陳述式中唯一指定的權限，而唯一允許的 WITH 選項是 WITH GRANT OPTION。

使用代理需要代理使用者透過外掛程式進行驗證，該外掛程式會在代理使用者連線時將被代理使用者的名稱傳回伺服器，並且代理使用者必須擁有被代理使用者的 PROXY 權限。如需詳細資訊和範例，請參閱第 8.2.19 節，「代理使用者」。

MySQL 將代理權限儲存在 mysql.proxies_priv 系統表格中。

沒有 ON 子句的 GRANT 語法會授予角色，而不是個別的權限。角色是權限的命名集合；請參閱第 8.2.10 節，「使用角色」。例如

GRANT 'role1', 'role2' TO 'user1'@'localhost', 'user2'@'localhost';

要授予的每個角色以及要授予的每個使用者帳戶或角色都必須存在。角色不能授予給匿名使用者。

授予角色不會自動導致該角色處於作用中狀態。有關角色啟用和停用的資訊，請參閱啟用角色。

授予角色需要以下權限

可以使用 GRANT 建立循環參考。例如

CREATE USER 'u1', 'u2';
CREATE ROLE 'r1', 'r2';

GRANT 'u1' TO 'u1';   -- simple loop: u1 => u1
GRANT 'r1' TO 'r1';   -- simple loop: r1 => r1

GRANT 'r2' TO 'u2';
GRANT 'u2' TO 'r2';   -- mixed user/role loop: u2 => r2 => u2

允許循環授予參考，但不會為被授予者新增任何新的權限或角色，因為使用者或角色已擁有其權限和角色。

GRANT 可以使用 AS user [WITH ROLE] 子句指定有關用於執行陳述式的權限內容的其他資訊。此語法在 SQL 層級可見，但其主要目的是通過導致這些限制出現在二進位記錄中，以實現跨所有節點的授予者權限限制（由部分撤銷所施加）的統一複製。有關部分撤銷的資訊，請參閱第 8.2.12 節，「使用部分撤銷的權限限制」。

當指定 AS user 子句時，陳述式執行會考慮與指定使用者關聯的任何權限限制，包括由 WITH ROLE 指定的所有角色（如果存在）。結果是，陳述式實際授予的權限可能會相對於指定的權限減少。

以下條件適用於 AS user 子句

以下範例說明 AS 子句的效果。建立一個具有一些全域權限以及對這些權限的限制的使用者 u1

CREATE USER u1;
GRANT SELECT, INSERT, UPDATE, DELETE ON *.* TO u1;
REVOKE INSERT, UPDATE ON schema1.* FROM u1;
REVOKE SELECT ON schema2.* FROM u1;

也建立一個取消一些權限限制的角色 r1，並將該角色授予 u1

CREATE ROLE r1;
GRANT INSERT ON schema1.* TO r1;
GRANT SELECT ON schema2.* TO r1;
GRANT r1 TO u1;

現在，使用一個沒有自己權限限制的帳戶，將同一組全域權限授予多個使用者，但每個使用者都具有 AS 子句施加的不同限制，並檢查實際授予哪些權限。

如果 GRANT 陳述式包含 AS user 子句，則會忽略執行陳述式的使用者的權限限制（而不是像在沒有 AS 子句的情況下一樣套用）。

可選的 WITH 子句用於允許使用者授與其他使用者權限。WITH GRANT OPTION 子句讓使用者能夠將其在指定權限層級擁有的任何權限授予其他使用者。

若要將 GRANT OPTION 權限授予帳戶，但不變更其其他權限，請執行此操作：

GRANT USAGE ON *.* TO 'someuser'@'somehost' WITH GRANT OPTION;

請小心將 GRANT OPTION 權限授予哪些人，因為具有不同權限的兩個使用者可能會合併權限！

您無法授予另一個使用者您自己沒有的權限； GRANT OPTION 權限僅允許您指派您自己擁有的權限。

請注意，當您在特定權限層級授予使用者 GRANT OPTION 權限時，該使用者在該層級擁有的任何權限（或未來可能被授予的權限）也可以由該使用者授予其他使用者。假設您授予使用者在資料庫上的 INSERT 權限。如果您接著授予該使用者在資料庫上的 SELECT 權限，並指定 WITH GRANT OPTION，則該使用者不僅可以將 SELECT 權限授予其他使用者，也可以授予 INSERT 權限。如果您接著將資料庫上的 UPDATE 權限授予使用者，則該使用者可以授予 INSERT、SELECT 和 UPDATE。

對於非管理使用者，您不應該全域或針對 mysql 系統綱要授予 ALTER 權限。如果您這樣做，該使用者可能會嘗試透過重新命名資料表來破壞權限系統！

有關與特定權限相關聯之安全風險的更多資訊，請參閱第 8.2.2 節，「MySQL 提供的權限」。

MySQL 和標準 SQL 版本的 GRANT 之間最大的差異是：