mysql如何查看谁有权限修改表结构_MySQL ALTER权限检查方法

查有ALTER权限的用户需依次检查mysql.user（全局）、mysql.db（库级）、mysql.tables_priv（表级）三张表，其中mysql.user.alter_priv='Y'表示全局权限，mysql.db.alter_priv='Y'表示库级权限，mysql.tables_priv.column_priv需用find_in_set('Alter', column_priv)查询。

查谁有 ALTER 权限：直接看 mysql.user 表字段最准

用 root 登录后执行：

SELECT host, user FROM mysql.user WHERE alter_priv = 'Y';

注意：alter_priv 是全局权限，只控制是否能在任意数据库上执行 ALTER TABLE；它不区分库或表——哪怕你只给用户 testdb.* 的权限，只要没开这个字段，他就不能改 testdb 里的任何表。

• 如果结果为空，说明目前没人有全局 ALTER 权限（但别急着下结论，继续看下一条）
• host 字段值为 % 表示允许从任意主机连接，localhost 则仅限本机，两者权限互不继承
• MySQL 8.0+ 中该字段名仍是 alter_priv，没变；但认证方式变了，别误把 authentication_string 当权限字段去筛

查库级/表级 ALTER 权限：得翻 mysql.db 和 mysql.tables_priv

查对某个数据库有 ALTER 权限的用户：

SELECT host, user, db FROM mysql.db WHERE alter_priv = 'Y';

查对某张表有 ALTER 权限的用户（较少见，但确实支持）：

靠岸学术

一款集翻译，阅读，文献管理于一体的英文文献阅读器

下载

SELECT host, user, db, table_name FROM mysql.tables_priv WHERE find_in_set('Alter', column_priv);

• mysql.db 中的 alter_priv 是 Y/N 字符串，不是布尔值，别写成 = 1
• mysql.tables_priv.column_priv 是逗号分隔字符串，必须用 find_in_set() 查，不能用 LIKE '%Alter%'（会误匹配 Alter_routine）
• 这种细粒度授权极少在生产环境使用，多数 DBA 直接给库级 ALTER，因为维护成本高、排查困难

验证用户实际能否执行 ALTER TABLE：别信 SHOW GRANTS 的表面输出

• 用户 A 被 GRANT ALTER ON testdb.*，SHOW GRANTS 会显示这条
• 但若 A 同时属于角色 R，而 R 有 ALTER 权限，SHOW GRANTS 默认不显示角色继承来的权限（MySQL 8.0+ 需加 USING role_name 才能看到）
• 更隐蔽的是：如果用户有 ALL PRIVILEGES，SHOW GRANTS 显示的是 ALL，但你无法从输出反推他是否真能 ALTER——得结合当前生效的 sql_mode 和对象可见性判断

所以最稳妥的验证方式是：用该用户登录，尝试执行一条无害的 ALTER TABLE ... MODIFY COLUMN（比如改个字段注释），看报错是不是 ERROR 1142 (42000): ALTER command denied。

常见误判场景：为什么明明给了 ALTER 还报错？

给权限 ≠ 能成功执行 ALTER TABLE。下面这些情况会导致拒绝，和 ALTER 权限本身无关：

• 目标表被其他会话锁住（如长事务未提交），报错 ERROR 1205 (40001): Deadlock found 或超时，容易误以为是权限问题
• 用户没有对应数据库的 USAGE 权限（即连库都进不去），ALTER 权限根本不会被检查——先得能 USE db_name
• MySQL 8.0+ 开启了 require_row_format 或启用了严格模式，某些 ALTER 操作会被拦截，报错提示里不含 “denied” 字样，容易混淆
• 用户有 ALTER 权限，但没 SELECT 权限——部分 ALTER 操作（如 ADD COLUMN AS (expr)）内部会触发隐式查询，缺 SELECT 也会失败