目錄
- 前言:
- 1.DEFINER簡單介紹
- 2.一些注意事項
- 總結(jié):
前言:
在 MySQL 數(shù)據(jù)庫中���,在創(chuàng)建視圖及函數(shù)的時候�,你有注意過 definer 選項嗎���?在遷移視圖或函數(shù)后是否有過報錯情況,這些其實都可能和 definer 有關(guān)系����。本篇文章主要介紹下 MySQL 中 definer 的含義及作用。
1.DEFINER簡單介紹
以視圖為例�,我們來看下官方給出的視圖創(chuàng)建基礎(chǔ)語法:
CREATE
[OR REPLACE]
[ALGORITHM = {UNDEFINED | MERGE | TEMPTABLE}]
[DEFINER = user]
[SQL SECURITY { DEFINER | INVOKER }]
VIEW view_name [(column_list)]
AS select_statement
[WITH [CASCADED | LOCAL] CHECK OPTION]
仔細看上面語法,發(fā)現(xiàn) definer 出現(xiàn)了兩次����,一次是 DEFINER = user 一次是 SQL SECURITY 選項可以設(shè)置為 DEFINER 或 INVOKER ,看到這里���,你有猜到 definer 的作用了嗎�����?
definer 翻譯成中文是“定義者”的意思����。MySQL中,創(chuàng)建視圖(view)�、函數(shù)(function)、存儲過程(procedure)����、觸發(fā)器(trigger)、事件(event)時�,都可以指定 DEFINER = user 選項,即指定此對象的定義者是誰���,若不顯式指定�����,則創(chuàng)建此對象的用戶就是定義者���。
對于視圖、函數(shù)及存儲過程,還可以指定 SQL SECURITY 屬性��,其值可以為 DEFINER(定義者) 或 INVOKER(調(diào)用者)��,表示在執(zhí)行過程中�����,使用誰的權(quán)限來執(zhí)行�����。DEFINER 表示按定義者擁有的權(quán)限來執(zhí)行����,INVOKER 表示用調(diào)用者的權(quán)限來執(zhí)行�����。
默認情況下���,SQL SECURITY 屬性為 DEFINER �����。其值為 DEFINER 時����,數(shù)據(jù)庫中必須存在 DEFINER 指定的定義者用戶,并且該定義者用戶擁有對應的操作權(quán)限及引用的相關(guān)對象的權(quán)限��,執(zhí)行者只需擁有調(diào)用權(quán)限就能成功執(zhí)行�����。當 SQL SECURITY 屬性為 INVOKER 時�,則需要執(zhí)行者有調(diào)用權(quán)限并且有引用的相關(guān)對象的權(quán)限,才能成功執(zhí)行�。
簡單來說,假設(shè)一個視圖查詢了 a b c 三張表��,若此視圖的 SQL SECURITY 屬性為 DEFINER ��,當使用用戶 u 查詢此視圖時��,用戶 u 只需此視圖的查詢權(quán)限即可���;若此視圖的 SQL SECURITY 屬性為 INVOKER ����,則用戶 u 需要有此視圖的查詢權(quán)限且有 a b c 三張表的查詢權(quán)限。下面通過示例來具體演示下:
# 創(chuàng)建兩個視圖 定義者都是testuser 查詢的是test_tb表
mysql> show grants for 'testuser'@'%';
+------------------------------------------------------------------------------------------------------+
| Grants for testuser@% |
+------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'testuser'@'%' |
| GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, CREATE VIEW, SHOW VIEW ON `testdb`.* TO 'testuser'@'%' |
+------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)
mysql> show create view view_definer\G
*************************** 1. row ***************************
View: view_definer
Create View: CREATE ALGORITHM=UNDEFINED DEFINER=`testuser`@`%` SQL SECURITY DEFINER VIEW `view_definer` AS select `test_tb`.`stu_id` AS `stu_id`,`test_tb`.`stu_name` AS `stu_name` from `test_tb`
character_set_client: utf8mb4
collation_connection: utf8mb4_general_ci
1 row in set (0.00 sec)
mysql> show create view view_invoker\G
*************************** 1. row ***************************
View: view_invoker
Create View: CREATE ALGORITHM=UNDEFINED DEFINER=`testuser`@`%` SQL SECURITY INVOKER VIEW `view_invoker` AS select `test_tb`.`stu_id` AS `stu_id`,`test_tb`.`stu_name` AS `stu_name` from `test_tb`
character_set_client: utf8mb4
collation_connection: utf8mb4_general_ci
1 row in set (0.00 sec)
# 只給uview用戶查詢這兩個視圖的權(quán)限 來進行查詢測試
mysql> select user();
+-----------------+
| user() |
+-----------------+
| uview@localhost |
+-----------------+
1 row in set (0.00 sec)
mysql> show grants;
+--------------------------------------------------------+
| Grants for uview@% |
+--------------------------------------------------------+
| GRANT USAGE ON *.* TO 'uview'@'%' |
| GRANT SELECT ON `testdb`.`view_definer` TO 'uview'@'%' |
| GRANT SELECT ON `testdb`.`view_invoker` TO 'uview'@'%' |
+--------------------------------------------------------+
3 rows in set (0.00 sec)
mysql> select * from view_definer;
+--------+----------+
| stu_id | stu_name |
+--------+----------+
| 1001 | from1 |
| 1002 | dfsfd |
| 1003 | fdgfg |
+--------+----------+
9 rows in set (0.00 sec)
mysql> select * from view_invoker;
ERROR 1356 (HY000): View 'testdb.view_invoker' references invalid table(s) or column(s) or function(s) or definer/invoker of view lack rights to use them
# 結(jié)果是view_definer查詢正常�����,而view_invoker無法查詢 因為uview用戶不具有test_tb表的查詢權(quán)限
自定義函數(shù)及存儲過程也是類似�,若 SQL SECURITY 屬性為 INVOKER ,同樣需要調(diào)用者有執(zhí)行權(quán)限并且有引用的相關(guān)對象的權(quán)限����,才能成功執(zhí)行。
2.一些注意事項
額外補充點知識����,只有擁有創(chuàng)建權(quán)限且有 SUPER 權(quán)限的用戶才可以建 DEFINER = 其他用戶的對象。例如:root 賬號可以創(chuàng)建 DEFINER = testuser 的視圖��,而 testuser 在有創(chuàng)建視圖的前提下只能創(chuàng)建 DEFINER 為自己的視圖����。
為了更細致的了解 DEFINER 相關(guān)作用���,以視圖為例再來說幾個特殊情況下的示例:
假設(shè)用戶 u1 不存在�,使用 root 賬號可以創(chuàng)建 DEFINER = u1 的視圖�����,若該視圖的 SQL SECURITY 屬性為 DEFINER ,則查詢時會報用戶不存在的錯誤��,若該視圖的 SQL SECURITY 屬性為 INVOKER �,則使用 root 賬號可正常查詢該視圖。
假設(shè)用戶 u2 存在但不具有查詢表 a 的權(quán)限����,使用 root 賬號可以創(chuàng)建 DEFINER = u2 的視圖來查詢表 a ,若該視圖的 SQL SECURITY 屬性為 DEFINER ����,則查詢時報缺少權(quán)限的錯誤,若該視圖的 SQL SECURITY 屬性為 INVOKER �����,則使用 root 賬號可正常查詢該視圖�。當使用用戶 u2 登錄時,則創(chuàng)建視圖來查詢表 a 會直接報錯缺少權(quán)限���,即創(chuàng)建不了查詢表 a 的視圖���,無論此視圖的 SQL SECURITY 屬性是什么��。
看完上述示例后��,不清楚你對 DEFINER 是否有了更清晰的認識�����,有興趣的同學可以自己測試看一看�����。結(jié)合筆者日常經(jīng)驗�����,說下 DEFINER 相關(guān)注意事項吧:
- SQL SECURITY 屬性建議使用默認的 DEFINER �����。
- 某個庫內(nèi)的視圖��、函數(shù)����、存儲過程建議使用統(tǒng)一的 DEFINER 用戶�����。
- 不要輕易修改及刪除數(shù)據(jù)庫用戶����,因為此用戶可能是相關(guān)對象的定義者。
- 若要修改 SQL SECURITY 屬性�����,請做好測試�����,清楚修改前后的區(qū)別�。
- 數(shù)據(jù)庫遷移時,要注意新環(huán)境存在相關(guān)對象的定義者用戶��。
- 做數(shù)據(jù)庫遷移時�����,建議首先在新環(huán)境創(chuàng)建相關(guān)用戶及賦予權(quán)限����。
總結(jié):
本篇文章主要介紹了 DEFINER 相關(guān)知識���,這些主要在創(chuàng)建視圖、函數(shù)����、存儲過程等對象時會遇到,平時比較容易被忽略����。但這些細節(jié)還是應該注意的,多了解多學習下���,這樣到真正用到的時候可以避免很多錯誤����。
到此這篇關(guān)于MySQL DEFINER具體使用詳解的文章就介紹到這了,更多相關(guān)MySQL DEFINER內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家�����!
您可能感興趣的文章:- Mysql row number()排序函數(shù)的用法和注意
- MySQL隱式類型轉(zhuǎn)換導致索引失效的解決
- 淺談MySQL數(shù)據(jù)查詢太多會OOM嗎
- Django搭建MySQL主從實現(xiàn)讀寫分離
- MySQL多表連接查詢詳解
- 一篇文章帶你了解MySQL數(shù)據(jù)庫基礎(chǔ)
- mysql之group by和having用法詳解
- springboot后端配置多個數(shù)據(jù)源�、Mysql數(shù)據(jù)庫的便捷方法
- MYSQL row_number()與over()函數(shù)用法詳解
