MySQL存储过程权限检查主要点

shoulu

一、权限相关：

1.修改sql security

Sql代码  

ALTER PROCEDURE www SQL SECURITY INVOKER ；  

ALTER PROCEDURE www SQL SECURITY DEFINER ；  

（1）MySQL存储过程是通过指定SQL SECURITY子句指定执行存储过程的实际用户；

（2）如果SQL SECURITY子句指定为DEFINER，存储过程将使用存储过程的DEFINER执行存储过程，验证调用存储过程的用户是否具有存储过程的execute权限和DEFINER用户是否具有存储过程引用的相关对象的权限；

（3）如果SQL SECURITY子句指定为INVOKER，那么MySQL将使用当前调用存储过程的用户执行此过程，并验证用户是否具有存储过程的execute权限和存储过程引用的相关对象的权限；

（4）如果不显示的指定SQL SECURITY子句，MySQL默认将以DEFINER执行存储过程。

3.执行存储过程授权

Sql代码  

GRANT EXECUTE ON PROCEDURE test.* TO 'wtc'@'%'；  

GRANT CREATE ROUTINE,ALTER ROUTINE, SELECT,CREATE, INSERT, UPDATE, DELETE, EXECUTE  ON test.* TO 'wtc'@'%' IDENTIFIED BY '111111'  

CREATE ROUTINE ： 创建存储过程的权限

ALTER ROUTINE ： 修改存储过程的权限

二、实验：

session 1：

mysql> show grants for ly@'%';

| Grants for ly@%                                                                                   

| GRANT USAGE ON *.* TO 'ly'@'%' IDENTIFIED BY PASSWORD '*23AE809DDACAF96AF0FD78ED04B6A265E05AA257'

mysql> show create procedure hhl.pr_param_in\G

*************************** 1. row ***************************

          Procedure: pr_param_in

           sql_mode:

   Create Procedure: CREATE DEFINER=`root`@`localhost` PROCEDURE `pr_param_in`(

  in id int  

)

   SQL SECURITY DEFINER

begin

INSERT INTO hhl.t  VALUES(1,'hhl');

end

character_set_client: latin1

collation_connection: latin1_swedish_ci

Database Collation: utf8_general_ci

1 row in set (0.00 sec)

grant  execute on procedure  hhl.pr_param_in to 'ly'@'%';

session 2：

mysql  -uly -p123 -h 1.1.1.5

mysql> call hhl.pr_param_in(1);

Query OK, 1 row affected (0.00 sec)

上面 SQL SECURITY=DEFINER，ly 用户调用存储过程是以DEFINER=`root`@`localhost`，即检查`root`@`localhost`是否具有存储过程的execute权限和DEFINER用户是否具有存储过程引用的相关对象的权限.

*如果SQL SECURITY =INVOKER

session 1 :

mysql> ALTER PROCEDURE hhl.pr_param_in  SQL SECURITY INVOKER;

Query OK, 0 rows affected (0.00 sec)

mysql> show create procedure hhl.pr_param_in\G

*************************** 1. row ***************************

          Procedure: pr_param_in

           sql_mode:

   Create Procedure: CREATE DEFINER=`root`@`localhost` PROCEDURE `pr_param_in`(

  in id int  

)

   SQL SECURITY INVOKER

begin

INSERT INTO hhl.t  VALUES(1,'hhl');

end

character_set_client: latin1

collation_connection: latin1_swedish_ci

Database Collation: utf8_general_ci

1 row in set (0.00 sec)

session 2 :

mysql> call hhl.pr_param_in(1);

ERROR 1142 (42000): INSERT command denied to user 'ly'@'node5' for table 't'

上面 SQL SECURITY=INVOKER，ly 用户调用存储过程，即检查ly是否具有存储过程的execute权限和DEFINER用户是否具有存储过程引用的相关对象的权限. ly 用户确实没有对 hhl 库下的t 表insert权限。

jgugugiug

商女不知亡国恨、妓女不懂婚外情。

LXY3800

只有假货是真的，别的都是假的!

lyd2004888

人生不能像做菜、把所有的料都准备好才下锅!

yzwj2004

学习了，谢谢分享、、、

想你了的他他

看帖回帖是美德！:lol

hujh20

怀揣两块，胸怀500万！