[MySQL] 存储过程、函数、触发器和视图的权限检查

首頁

資料庫

mysql教程

[MySQL] 存储过程、函数、触发器和视图的权限检查_MySQL

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 01, 2016 pm 01:28 PM

如何使用者觸發器

bitsCN.com

[MySQL] 存储过程、函数、触发器和视图的权限检查

当存储过程、函数、触发器和视图创建后，不单单创建者要执行，其它用户也可能需要执行，换句话说，执行者有可能不是创建者本身，那么在执行存储过程时，MySQL是如何做权限检查的？

在默认情况下，MySQL将检查创建者的权限。假设用户A创建了存储过程p()访问表T，并把execute的权限赋给了B，即使用户B没有访问表T的权限，也能够通过执行存储过程p()访问表T。

下面看一个例子：

首先，我们创建一个表test.t和两个用户a,b，并把权限赋予用户a

[sql] root@(none) 05:39:45>create table portal.t as select * from mysql.user;  Query OK, 25 rows affected (0.16 sec)  Records: 25  Duplicates: 0  Warnings: 0    root@(none) 05:39:55>create user a identified by &#39;a&#39;;  Query OK, 0 rows affected (0.02 sec)    root@(none) 05:40:51>create user b identified by &#39;b&#39;;  Query OK, 0 rows affected (0.00 sec)    root@(none) 05:40:59>grant all privileges on portal.* to a;  Query OK, 0 rows affected (0.01 sec)

接着，以用户a创建存储过程p()：

[sql] DELIMITER $$  USE portal$$  CREATE PROCEDURE `p`()  BEGIN    SELECT COUNT(*) FROM portal.t;  END$$  DELIMITER ;

并把执行该存储过程的权限赋给用户b:

[sql] root@(none) 05:54:28>grant execute on procedure portal.p to b;  Query OK, 0 rows affected (0.00 sec)

这时候，已用户b连接后通过执行存储过程可以获得t表的访问权限：

[sql] b@(none) 05:58:20>call portal.p();  +----------+  | COUNT(*) |  +----------+  |       25 |  +----------+  1 row in set (0.00 sec)    Query OK, 0 rows affected (0.00 sec)

但如果直接访问将出现权限错误：

[sql] b@(none) 05:58:40>select count(*) from portal.t;  ERROR 1142 (42000): SELECT command denied to user &#39;b&#39;@&#39;192.168.1.15&#39; for table &#39;t&#39;

MySQL这样的设置有一定的道理，但同时也带来了安全隐患：比如如果一个用户通过创建一个存储过程来访问敏感数据，则可以调用该存储过程的所有用户都能访问敏感数据。

如果你不想使用MySQL的默认设置，可以在定义存储程序和视图时在create语句里使用definer = account字句指定定义者，这样在执行存储程序和视图时，将检查definer的权限，而不是创建者的权限。

举个例子，当你用root 创建一个存储过程时，在默认情况下，在执行该存储过程时，执行者将获得root的权限，但当你加上definer = A后，执行者只能获得A的权限。

但是definer还是没能完全解决上面提到的安全隐患，别急，MySQL还提供了SQL SECURITY选项来控制权限，它有两个取值:

1）DEFINER：以定义者的权限执行（默认）

2）INVOKER：以调用者的权限执行

如果你不想在存储程序或试图在执行时的权限多于调用者，就设置SQL SECURITY INVOKER即可。

例如，下面的试图将访问mysql.user，并设置了SQL SECURITY INVOKER选项，这样如果调用者没有访问mysql.user的权限，则无法通过权限检查。

[sql] create sql security invoker view v    as select * from mysql.user;

注意：因为触发器和事件是由系统调用的，没有调用者的概念，所以它们没有SQL SECURITY选项。

bitsCN.com

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

如何隐藏文本直到在 Powerpoint 中单击Apr 14, 2023 pm 04:40 PM

如何在 PowerPoint 中的任何点击之前隐藏文本如果您希望在单击 PowerPoint 幻灯片上的任意位置时显示文本，那么设置起来既快速又容易。要在 PowerPoint 中单击任何按钮之前隐藏文本：打开您的 PowerPoint 文档，然后单击“插入 ”菜单。单击新幻灯片。选择空白或其他预设之一。仍然在插入菜单中，单击文本框。在幻灯片上拖出一个文本框。单击文本框并输入您

oracle如何添加触发器Dec 12, 2023 am 10:17 AM

在Oracle数据库中，您可以使用CREATE TRIGGER语句来添加触发器。触发器是一种数据库对象，它可以在数据库表上定义一个或多个事件，并在事件发生时自动执行相应的操作。

mysql 怎么修改hostFeb 15, 2023 am 10:17 AM

mysql修改host的方法：1、通过“sudo service mysql stop”停掉mysql服务；2、以安全模式启动mysql，然后重置root密码；3、通过“update user set Host='%' where User='hive';”语句修改host即可。

如何在MySQL中使用PHP编写触发器Sep 21, 2023 am 08:16 AM

如何在MySQL中使用PHP编写触发器MySQL是一种常用的关系型数据库管理系统，而PHP是一种流行的服务器端脚本语言。在MySQL中使用PHP编写触发器可以帮助我们实现自动化的数据库操作。本文将介绍如何使用PHP来编写MySQL触发器，并提供具体的代码示例。在开始之前，确保已经安装了MySQL和PHP，并且已经建立了相应的数据库表。一、创建PHP文件和数据

mysql的触发器是什么级的Mar 30, 2023 pm 08:05 PM

mysql的触发器是行级的。按照SQL标准，触发器可以分为两种：1、行级触发器，对于修改的每一行数据都会激活一次，如果一个语句插入了100行数据，将会调用触发器100次；2、语句级触发器，针对每个语句激活一次，一个插入100行数据的语句只会调用一次触发器。而MySQL中只支持行级触发器，不支持预语句级触发器。

如何在MySQL中使用PHP编写自定义触发器和存储过程Sep 20, 2023 am 11:25 AM

如何在MySQL中使用PHP编写自定义触发器和存储过程引言：在开发应用程序时，我们经常需要在数据库层面进行一些操作，如插入、更新或删除数据。MySQL是一个广泛使用的关系型数据库管理系统，而PHP是一种流行的服务器端脚本语言。本文将介绍如何在MySQL中使用PHP编写自定义触发器和存储过程，并提供具体的代码示例。一、什么是触发器和存储过程触发器（Trigg

如何在MySQL中使用Python编写自定义触发器Sep 20, 2023 am 11:04 AM

如何在MySQL中使用Python编写自定义触发器触发器是MySQL中的一种强大的功能，它可以在数据库中的表上定义一些自动执行的操作。而Python则是一种简洁而强大的编程语言，能够方便地与MySQL进行交互。本文将介绍如何使用Python编写自定义触发器，并提供具体的代码示例。首先，我们需要安装并导入PyMySQL库，它是Python与MySQL数据库进行

如何使用MySQL的触发器实现数据的自动归档Aug 02, 2023 am 10:37 AM

如何使用MySQL的触发器实现数据的自动归档引言：在现代数据管理领域，数据的自动归档和清理是一个重要而又常见的需求。随着数据量的增加，保留完整的历史数据会占用过多的存储资源，并且会降低查询性能。MySQL的触发器提供了实现这一需求的有效方法。本文将介绍如何使用MySQL的触发器来实现数据的自动归档。一、什么是MySQL的触发器MySQL的触发器是一种特殊的存

See all articles