Mysql中视图的安全验证方式
DEFINER:指定视图的创建者(或者说属主,虽然MySQL中的对象其实不注重属主,这点与ORACLE数据库极为不同),默认当然就是执行CREATE
VIEW语句的CURRENT_USER,但是创建时也可以指定不同的用户做为创建者(或者叫视图所有人);
SQL
SECURITY:视图查询数据时的安全验证方式,有两处选项:
DEFINER:这个不是指创建者了,而是说在创建视图时验证是否有权限访问视图所引用的数据;
INVOKER:指查询视图时,验证查询的用户是否拥有权限访问视图及视图所引用的对象;
首先创建两个视图:
mysql> create sql security definer view j1_v_d as select * from jssdb.j1; Query OK, 0 rows affected (0.00 sec) mysql> create sql security invoker view j1_v_i as select * from jssdb.j1; Query OK, 0 rows affected (0.00 sec)
然后我们新建一个用户tmpdb,仅授予增删改查tmpdb库的权限(并没有操作jssdb.j1的权限):
mysql> grant select,insert,update,delete on tmpdb.* to tmpdb identified by "tmpdb"; Query OK, 0 rows affected (0.00 sec)
然后,使用新创建的用户登录执行操作:
[root@test ~]# mysql -utmpdb -p‘tmpdb‘ -h 192.168.11.212 -P 3306 -D tmpdb Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 10425056 Server version: 5.0.56-log Source distribution Type ‘help;‘ or ‘\h‘ for help. Type ‘\c‘ to clear the buffer. mysql> show databases; +--------------------+ | Database | +--------------------+ | information_schema | | test | | tmpdb | +--------------------+ 3 rows in set (0.00 sec) mysql> show tables; +-----------------+ | Tables_in_tmpdb | +-----------------+ | j1_v_d | | j1_v_i | +-----------------+ 2 rows in set (0.00 sec)
先来看看操作definer验证方式下的视图:
mysql> select * from j1_v_d; +------+------+ | id | vl | +------+------+ | 1 | a0 | | 2 | bb | +------+------+ 2 rows in set (0.00 sec) mysql> insert into j1_v_d values (3,‘cc‘); Query OK, 1 row affected (0.01 sec)
可以看到,查询和更新都没有问题,接下来再试试invoker权限定义的视图:
mysql> select * from j1_v_i; ERROR 1356 (HY000): View ‘tmpdb.j1_v_i‘ references invalid table(s) or column(s) or function(s) or definer/invoker of view lack rights to use them
查询时就报错了,更新就更不用说了。上面的这种情况,是由于tmpdb用户没有操作jssdb下对象的权限,因此读取j1_v_i对象时就失败了(虽然它有访问j1_v_i对象的权限)。
这个简单的测试足以表明:
definer是在定义对象是判断是否有权限,只要创建的用户有权限,那么创建就可以成功,而且所有有权限查询该视图的用户也能够成功执行查询语句
-
不管是否拥有该视图所引用对象的权限;
invoker是指在查询时验证用户是否有权限执行操作,当然创建时也会判断,如果创建的用户没有视图所引用表对象的访问权限,那创建都会失败。
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。