[MySQL] 存储过程、函数、触发器和视图的权限检查

首頁

資料庫

mysql教程

[MySQL] 存储过程、函数、触发器和视图的权限检查_MySQL

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 01, 2016 pm 01:28 PM

如何使用者觸發器

bitsCN.com

[MySQL] 存储过程、函数、触发器和视图的权限检查

当存储过程、函数、触发器和视图创建后，不单单创建者要执行，其它用户也可能需要执行，换句话说，执行者有可能不是创建者本身，那么在执行存储过程时，MySQL是如何做权限检查的？

在默认情况下，MySQL将检查创建者的权限。假设用户A创建了存储过程p()访问表T，并把execute的权限赋给了B，即使用户B没有访问表T的权限，也能够通过执行存储过程p()访问表T。

下面看一个例子：

首先，我们创建一个表test.t和两个用户a,b，并把权限赋予用户a

[sql] root@(none) 05:39:45>create table portal.t as select * from mysql.user;  Query OK, 25 rows affected (0.16 sec)  Records: 25  Duplicates: 0  Warnings: 0    root@(none) 05:39:55>create user a identified by &#39;a&#39;;  Query OK, 0 rows affected (0.02 sec)    root@(none) 05:40:51>create user b identified by &#39;b&#39;;  Query OK, 0 rows affected (0.00 sec)    root@(none) 05:40:59>grant all privileges on portal.* to a;  Query OK, 0 rows affected (0.01 sec)

接着，以用户a创建存储过程p()：

[sql] DELIMITER $$  USE portal$$  CREATE PROCEDURE `p`()  BEGIN    SELECT COUNT(*) FROM portal.t;  END$$  DELIMITER ;

并把执行该存储过程的权限赋给用户b:

[sql] root@(none) 05:54:28>grant execute on procedure portal.p to b;  Query OK, 0 rows affected (0.00 sec)

这时候，已用户b连接后通过执行存储过程可以获得t表的访问权限：

[sql] b@(none) 05:58:20>call portal.p();  +----------+  | COUNT(*) |  +----------+  |       25 |  +----------+  1 row in set (0.00 sec)    Query OK, 0 rows affected (0.00 sec)

但如果直接访问将出现权限错误：

[sql] b@(none) 05:58:40>select count(*) from portal.t;  ERROR 1142 (42000): SELECT command denied to user &#39;b&#39;@&#39;192.168.1.15&#39; for table &#39;t&#39;

MySQL这样的设置有一定的道理，但同时也带来了安全隐患：比如如果一个用户通过创建一个存储过程来访问敏感数据，则可以调用该存储过程的所有用户都能访问敏感数据。

如果你不想使用MySQL的默认设置，可以在定义存储程序和视图时在create语句里使用definer = account字句指定定义者，这样在执行存储程序和视图时，将检查definer的权限，而不是创建者的权限。

举个例子，当你用root 创建一个存储过程时，在默认情况下，在执行该存储过程时，执行者将获得root的权限，但当你加上definer = A后，执行者只能获得A的权限。

但是definer还是没能完全解决上面提到的安全隐患，别急，MySQL还提供了SQL SECURITY选项来控制权限，它有两个取值:

1）DEFINER：以定义者的权限执行（默认）

2）INVOKER：以调用者的权限执行

如果你不想在存储程序或试图在执行时的权限多于调用者，就设置SQL SECURITY INVOKER即可。

例如，下面的试图将访问mysql.user，并设置了SQL SECURITY INVOKER选项，这样如果调用者没有访问mysql.user的权限，则无法通过权限检查。

[sql] create sql security invoker view v    as select * from mysql.user;

注意：因为触发器和事件是由系统调用的，没有调用者的概念，所以它们没有SQL SECURITY选项。

bitsCN.com

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

mysql：blob和其他無-SQL存儲，有什麼區別？May 13, 2025 am 12:14 AM

mysql'sblobissuitableForStoringBinaryDataWithInareLationalDatabase，而ilenosqloptionslikemongodb，redis和calablesolutionsolutionsolutionsoluntionsoluntionsolundortionsolunsonstructureddata.blobobobissimplobisslowdeperformberbutslowderformandperformancewithlararengedata;

mySQL添加用戶：語法，選項和安全性最佳實踐May 13, 2025 am 12:12 AM

toaddauserinmysql，使用：createUser'username'@'host'Indessify'password'; there'showtodoitsecurely：1）choosethehostcarecarefullytocon trolaccess.2）setResourcelimitswithoptionslikemax_queries_per_hour.3）usestrong，iniquepasswords.4）Enforcessl/tlsconnectionswith

MySQL：如何避免字符串數據類型常見錯誤？May 13, 2025 am 12:09 AM

toAvoidCommonMistakeswithStringDatatatPesInMysQl，CloseStringTypenuances，chosethirtightType，andManageEngencodingAndCollationsEttingSefectery.1）usecharforfixed lengengtrings，varchar forvariable-varchar forbariaible length，andtext/blobforlargerdataa.2 seterters seterters seterters

mySQL：字符串數據類型和枚舉？May 13, 2025 am 12:05 AM

mysqloffersechar，varchar，text，and denumforstringdata.usecharforfixed Lengttrings，varcharerforvariable長度，文本forlarger文本，andenumforenforcingDataAntegrityWithaEtofValues。

mysql blob：如何優化斑點請求May 13, 2025 am 12:03 AM

優化MySQLBLOB請求可以通過以下策略：1.減少BLOB查詢頻率，使用獨立請求或延遲加載；2.選擇合適的BLOB類型（如TINYBLOB）；3.將BLOB數據分離到單獨表中；4.在應用層壓縮BLOB數據；5.對BLOB元數據建立索引。這些方法結合實際應用中的監控、緩存和數據分片，可以有效提升性能。

將用戶添加到MySQL：完整的教程May 12, 2025 am 12:14 AM

掌握添加MySQL用戶的方法對於數據庫管理員和開發者至關重要，因為它確保數據庫的安全性和訪問控制。 1)使用CREATEUSER命令創建新用戶，2)通過GRANT命令分配權限，3)使用FLUSHPRIVILEGES確保權限生效，4)定期審計和清理用戶賬戶以維護性能和安全。

掌握mySQL字符串數據類型：varchar vs.文本與charMay 12, 2025 am 12:12 AM

chosecharforfixed-lengthdata，varcharforvariable-lengthdata，andtextforlargetextfield.1）chariseffity forconsistent-lengthdatalikecodes.2）varcharsuitsvariable-lengthdatalikenames，ballancingflexibilitibility andperformance.3）

MySQL：字符串數據類型和索引：最佳實踐May 12, 2025 am 12:11 AM

在MySQL中處理字符串數據類型和索引的最佳實踐包括：1)選擇合適的字符串類型，如CHAR用於固定長度，VARCHAR用於可變長度，TEXT用於大文本；2)謹慎索引，避免過度索引，針對常用查詢創建索引；3)使用前綴索引和全文索引優化長字符串搜索；4)定期監控和優化索引，保持索引小巧高效。通過這些方法，可以在讀取和寫入性能之間取得平衡，提升數據庫效率。

See all articles