mysql技术内幕总结篇 （一）存储程序和视图的安全性

本文只是阅读mysql技术内部后的总结

     

     4.5 存储程序和视图的安全性

 存储程序是一个将在未来的某个时刻执行的对象 视图也是如此。意味着实际执行的这些语句的用户有可能不知道创建者，服务器执行时应该使用哪个账户的权限？

默认情况下，服务器是使用创建者的账户权限

好处 ： 编写的存储过程可以把数据表开发给无权直接访问它们的用户，开放程度由创建者控制

坏处 ：如果存储过程有敏感数据，调用者将获得与定义者同样的数据访问权限。

定义存储过程or视图 可以在create语句使用一个DEFINER = account 明确指定该存储过程or View的定义者。mysql在执行时将使用该用户的权限去访问数据 example:

CREATE DEFINER = 'tony'@'localhost' PROCEDURE count_students() select count(*) from student;

definer 的value 可以是'user_name'@'host_name'  默认使用CURRENT_USER

对于视图 存储函数 存储过程 还可以给出 SQL SECURITY 选项 ，选项值是 DEFINER(定义者的权限执行) or INVOKER (以调用者的权限执行，只看自己能看到的)

SQL SECURITY INVOKER 最适合这样的场合 ：你不想让存储程序或视图在执行时的权限多于调用者。例如 下面的视图将访问mysql的衣柜数据表 但只能以调用者的权限运行。这样一来如果调用者本人无权访问mysql.user表 即使执行这个视图也不会看到他不该看到的东西。

create SQL SECURITY INVOKER VIEW myvas select concat(User,'@',Host) as account, password from mysql.user;

触发器和事件是由服务器自动调用的 所以调用者的概念不适用于他们 不支持SQL SECURITY，总是以定义者的权限执行

若DEFINER账户不存在执行definer='tony'@'localhost'会抛出a error