Mysql 存储过程、函数、触发器和视图的权限检查

当存储过程、函数、触发器和视图创建后,不单单创建者要执行,其它用户也可能需要执行,换句话说,执行者有可能不是创建者本身,那么在执行存储过程时,MySQL是如何做权限检查的?

在默认情况下,MySQL将检查创建者的权限。假设用户A创建了存储过程p()访问表T,并把execute的权限赋给了B,即使用户B没有访问表T的权限,也能够通过执行存储过程p()访问表T。

下面看一个例子:

首先,我们创建一个表test.t和两个用户a,b,并把权限赋予用户a

 

[sql] view plaincopyprint?

 

  1. root@(none) 05:39:45>create table portal.t as select * from mysql.user;  
  2. Query OK, 25 rows affected (0.16 sec)  
  3. Records: 25  Duplicates: 0  Warnings: 0  
  4.   
  5. root@(none) 05:39:55>create user a identified by 'a';  
  6. Query OK, 0 rows affected (0.02 sec)  
  7.   
  8. root@(none) 05:40:51>create user b identified by 'b';  
  9. Query OK, 0 rows affected (0.00 sec)  
  10.   
  11. root@(none) 05:40:59>grant all privileges on portal.* to a;  
  12. Query OK, 0 rows affected (0.01 sec)  

接着,以用户a创建存储过程p():

 

 

[sql] view plaincopyprint?

 

  1. DELIMITER $$  
  2. USE portal$$  
  3. CREATE PROCEDURE `p`()  
  4. BEGIN  
  5.   SELECT COUNT(*) FROM portal.t;  
  6. END$$  
  7. DELIMITER ;  

并把执行该存储过程的权限赋给用户b:

 

 

[sql] view plaincopyprint?

 

  1. root@(none) 05:54:28>grant execute on procedure portal.p to b;  
  2. Query OK, 0 rows affected (0.00 sec)  

这时候,已用户b连接后通过执行存储过程可以获得t表的访问权限:

 

 

[sql] view plaincopyprint?

 

  1. b@(none) 05:58:20>call portal.p();  
  2. +----------+  
  3. | COUNT(*) |  
  4. +----------+  
  5. |       25 |  
  6. +----------+  
  7. 1 row in set (0.00 sec)  
  8.   
  9. Query OK, 0 rows affected (0.00 sec)  

但如果直接访问将出现权限错误:

 

 

[sql] view plaincopyprint?

 

  1. b@(none) 05:58:40>select count(*) from portal.t;  
  2. ERROR 1142 (42000): SELECT command denied to user 'b'@'192.168.1.15' for table 't'  

 

MySQL这样的设置有一定的道理,但同时也带来了安全隐患:比如如果一个用户通过创建一个存储过程来访问敏感数据,则可以调用该存储过程的所有用户都能访问敏感数据。

如果你不想使用MySQL的默认设置,可以在定义存储程序和视图时在create语句里使用definer = account字句指定定义者,这样在执行存储程序和视图时,将检查definer的权限,而不是创建者的权限。

举个例子,当你用root 创建一个存储过程时,在默认情况下,在执行该存储过程时,执行者将获得root的权限,但当你加上definer = A后,执行者只能获得A的权限。

但是definer还是没能完全解决上面提到的安全隐患,别急,MySQL还提供了SQL SECURITY选项来控制权限,它有两个取值:

1)DEFINER:以定义者的权限执行(默认)

2)INVOKER:以调用者的权限执行

如果你不想在存储程序或试图在执行时的权限多于调用者,就设置SQL SECURITY INVOKER即可。

例如,下面的试图将访问mysql.user,并设置了SQL SECURITY INVOKER选项,这样如果调用者没有访问mysql.user的权限,则无法通过权限检查。

 

[sql] view plaincopyprint?

 

  1. create sql security invoker view v  
  2.   as select * from mysql.user;  

注意:因为触发器和事件是由系统调用的,没有调用者的概念,所以它们没有SQL SECURITY选项。

时间: 2024-10-03 00:35:10

Mysql 存储过程、函数、触发器和视图的权限检查的相关文章

MySQL存储过程、函数、触发器和视图的权限检查

当存储过程.函数.触发器和视图创建后,不单单创建者要执行,其它用户也可能需要执行,换句话说,执行者有可能不是创建者本身,那么在执行存储过程时,MySQL是如何做权限检查的? 在默认情况下,MySQL将检查创建者的权限.假设用户A创建了存储过程p()访问表T,并把execute的权限赋给了B,即使用户B没有访问表T的权限,也能够通过执行存储过程p()访问表T. 下面看一个例子: 首先,我们创建一个表test.t和两个用户a,b,并把权限赋予用户a root@(none) 05:39:45>crea

查看SQL SERVER 加密存储过程,函数,触发器,视图

server|触发器|存储过程|函数|加密|视图 create  PROCEDURE sp_decrypt(@objectname varchar(50))ASbeginset nocount on--CSDN:j9988 copyright:2004.07.15 --V3.2 --破解字节不受限制,适用于SQLSERVER2000存储过程,函数,视图,触发器--修正上一版"视图触发器"不能正确解密错误--发现有错,请E_MAIL:CSDNj9988@tom.combegin tran

MySQL存储过程中的基本函数和触发器的相关学习教程_Mysql

MySQL存储过程的常用函数 一.字符串类 CHARSET(str) //返回字串字符集 CONCAT (string2 [,... ]) //连接字串 INSTR (string ,substring ) //返回substring首次在string中出现的位置,不存在返回0 LCASE (string2 ) //转换成小写 LEFT (string2 ,length ) //从string2中的左边起取length个字符 LENGTH (string ) //string长度 LOAD_FI

理解MySQL存储过程和函数_Mysql

一.概述  一提到存储过程可能就会引出另一个话题就是存储过程的优缺点,这里也不做讨论,一般别人问我我就这样回答你觉得它好你就用它.因为mysql中存储过程和函数的语法非常接近所以就放在一起,主要区别就是函数必须有返回值(return),并且函数的参数只有IN类型而存储过程有IN.OUT.INOUT这三种类型. 二.语法   创建存储过程和函数语法 CREATE PROCEDURE sp_name ([proc_parameter[,...]]) [characteristic ...] rout

php调用mysql存储过程和函数的方法

mysql|存储过程|函数 存储过程和函数是MySql5.0刚刚引入的.关于这方面的操作在PHP里面没有直接的支持.但是由于Mysql PHP API的设计,使得我们可以在以前的PHP版本中的mysql php api中支持存储过程和函数的调用. 在php中调用存储过程和函数.     1.调用存储过程的方法.       a.如果存储过程有 IN/INOUT参数,声明一个变量,输入参数给存储过程,该变量是一对,       一个php变量(也可以不必,只是没有php变量时,没有办法进行动态输入

MySql存储过程 创建删除与实例

mysql教程存储过程是带参数的存储过程(动态执行sql语句),该mysql存储过程是根据用户输入的条件和排序方式查询用户的信息,排序条件可以没有调用方式: mysql 5.0 新特性教程是为需要了解5.0版本新特性的mysql老用户而写的.简单的来说是介绍了"存储过程.触发器.视图.信息架构视图",   call getusersdynamic('age<=30','');   /********动态查询用户的信息********/    create procedure ge

数据库中的事务、存储过程和触发器的简单使用

什么是事务(Transaction) 指访问并可能更新数据库中各种数据项的一个程序执行单元(unit)--也就是由多个sql语句组成,必须作为一个整体执行 这些sql语句作为一个整体一起向系统提交,要么都执行.要么都不执行 语法步骤: 开始事务:BEGIN TRANSACTION 事务提交:COMMIT TRANSACTION 事务回滚:ROLLBACK TRANSACTION 判断某条语句执行是否出错: 全局变量@@ERROR: @@ERROR只能判断当前一条T-SQL语句执行是否有错,为了判

MySQL之21-29重点:视图,触发器,存储过程,游标,事务处理

21.创建和操作表 21.1.创建表 CREATE TABLE创建表,必须给出下列信息: 1) 新表的名字,在关键字CREATETABLE之后 2) 表列的名字和定义,用逗号分隔 CREATE TABLE customers ( cust_id int NOT NULL AUTO_INCREMENT, cust_name char(50) NOTNULL, cust_address char(50) NULL, cust_city char(50) NULL, cust_state char(5

Mysql事项,视图,函数,触发器命令(详解)_Mysql

事项开启和使用 //修改表的引擎 alter table a engine=myisam; //开启事务 begin; //关闭自动提交 set autocommit=0; //扣100 update bank set money=money-100 where bid=1; //回滚,begin开始的所有sql语句操作 rollback; //开启事务 begin; //关闭自动提交 set autocommit=0; //扣100 update bank set money=money-10