小白学习mysql之存储过程的优劣分析以及接入控制
2015-11-30 09:40
531 查看
存储过程的优劣
存储过程是一组实现特定功能的SQL语句集合,存储过程一经编译便存储在了服务器上,可以通过调用存储过程的名字以及传入相应的参数来使用存储过程。要高层次的掌握存储过程,不能觉得依葫芦画瓢,觉得造出来的存储过程能够跑出结果就OK。一定要站在一定的高度,看清它的全貌:选择使用存储过程的优势
执行效率快; 存储过程工作于服务器中,距离数据最近,因此对数据的操作快,和一般SQL语句比,它无需网络通信开销,解析开销,和优化器开销等。实现代码重用,接口处理逻辑一致; 存储过程可以理解为一种抽象级比较低或者说比较具体的函数。因此,可以实现供系统多次反复调用,实现了代码的重用,保证了系统业务处理的一致性。
可以简化代码的维护和版本更新;存储过程部署在服务器端,因此可以所有的备份和维护都可以在服务器上进行。而且如果一些业务逻辑做出修正,也可以在服务上修正存储过程,一定程度上减少了客户端的升级次数。
提升安全,实现更细粒度的权限控制。
使用存储过程的弊端
缺乏行之有效的开发和调试工具;存储过程的开发和调试与应用程序代码是无法相提并论的,感觉存储过程的调试更像单纯的使用“打印调试”。因此,开发效率和调试上有一定的折扣。实现业务 逻辑的灵活度和自由度略差;这点主要是和应用程序开发作比较的,存储过程中没有应用程序语言中丰富多彩的函数,因此用起来总感觉需要一些“巧妙的设计”在里面,对于发烧的字符串操作和维护,使用起来并没有编程序言那样轻松自如。
对数据库服务器增加了额外的压力,同时数据库服务器的扩展性也相对较差。
mysql中并没有什么选项对存储过程的资源消耗进行控制,如果存储过程中出现了一个错误,可能会对整个数据库服务器造成较大的影响。
存储过程定义细节
存储过程在定义的时候,有一些关键字的含义以及语句还是需要搞明白的好,诸如分隔符的临时重定义,调用存储过程的权限控制等。在sqllog等这些工具中新建一个存储过程就会出现一下属性和定义:
DELIMITER $$ CREATE /*[DEFINER = { user | CURRENT_USER }]*/ PROCEDURE `my_db`.`heat_test1`() /*LANGUAGE SQL | [NOT] DETERMINISTIC | { CONTAINS SQL | NO SQL | READS SQL DATA | MODIFIES SQL DATA } | SQL SECURITY { DEFINER | INVOKER } | COMMENT 'string'*/ BEGIN END$$ DELIMITER ;
重新定义分隔符"; "
在mysql的客户端中向服务器传送存储过程的时候,如果不重新定义分号,mysql服务器接收到第一个分号的时候,会以为这条语句传送完毕,因此分割了整个存储过程;为了能够完整的将存储过程传送到服务器,务必需要暂时定义mysql的分隔符即分号;使用 delimiter 关键字可以重新定义分隔符,比如 mysql> delimiter //;当然可以想使用你喜欢的字符代替“//”,但是不要使用“”,因为该符号在mysql中是转移字符。
当整个存储过程传送完毕后,一定要记得将分隔符重新定义为分号。
选择合适的接入控制权限
对于每一个存储过程,可以有一个“DEFINER”的属性,这个属性是一个mysql中的账户名,比如root等。这个属性帮助在调用存储过程的时候,根据上下文的环境确定其权限。如果这个属性没有明确给出,那么mysql默认为创建该存储过程的用户为这个属性的值。此外,存储过程中还有一个SQL SECURITY { DEFINER | INVOKER }来决定使用存储过程的定义者或者是调用者的上下文环境。如果是DEFINER,那么这个存储过程在调用的时候就会拥有创建者指定账户的权限,如果是INVOKER,那么执行这个存储过程的时候就会拥有调用者的权限。
CREATE DEFINER = 'admin'@'localhost' PROCEDURE p1() SQL SECURITY DEFINER BEGIN UPDATE t1 SET counter = counter + 1; END;
上面的存储过程的SQL SECURITY定义的是DEFINER,因此对于任何有权限调用p1的用户都可以用call来调用该存储过程,但是在存储过程执行的过程中,上下文环境将切换到'admin'@'localhost'用户下,也就是说调用者的权限对此存储过程无效(调用者可以没有对t1表updata权限,只要'admin'@'localhost'有即可),在这个存储过程执行的时候,所拥有的权限是'admin'@'localhost'所拥有的。
CREATE DEFINER = 'admin'@'localhost' PROCEDURE p2() SQL SECURITY INVOKER BEGIN UPDATE t1 SET counter = counter + 1; END;
当存储过程p2的SQL SECURITY定义为INVOKER的时候,这个时候存储执行的上下文环境将在调用者上下文环境中执行,也就是说,这个时候调用者的权限必须要有对t1表的访问和修改权限。
存储过程中,DEFINER属性的设置规则以及提高安全的策略
1 你只可以将自己的账户名设置为DEFINER的属性假如没有超级权限,如果有超级权限才可以设置其他用户的账户名作为该属性的值。2 应该尽量使用SQL SECURITY INVOKER来定义存储过程,这样会规避不必要的越限。
3 如果使用SQL SECURITY DEFINER,而且指定的账户具有超级权限,再三分析是否必须这样。
4 管理员为了限制用户随意指定DEFINER的属性为超级权限,应该谨慎的分配给用户超级权限。
通过这样的权限设置,可以实现更细粒度以及更自由的权限设置。同时,基于安全的问题也要时时考虑到。
参考文献
[1] 高性能mysql
[2] mysql官方网站
相关文章推荐
- mysql中字符集的设置
- windows mysql 自动备份的几种方法
- Mysql的实时同步 - 双机互备
- Debian 8.2 下安装MySQL5.7.9 Generic Binaries
- VB6.0连接MySQL数据库
- MySQL1236错误的恢复
- MySQL数据库获取多个汉字拼音的首字母函数
- MySQL的集群配置的基本命令使用及一次操作过程实录
- mysql 表大小写
- mysql 5.7忘记root密码
- mysql 5.7使用ssl连接
- 安装MySQL配置时报错的处理方法
- MySQL是否在扫描额外的记录
- MySQL常用的操作整理
- 21分钟 MySQL 入门教程
- 如何增mysql innodb_data 文件的空间
- mac osx install mysql
- solr5.3.1从mysql导入索引
- mysql innodb ibdata 数据文件误删除恢复过程
- 10款最好用的MySQL数据库客户端图形界面管理工具