小白学习mysql之存储过程的优劣分析以及接入控制

时间:2022-04-08 01:11:02

存储过程的优劣

存储过程是一组实现特定功能的SQL语句集合,存储过程一经编译便存储在了服务器上,可以通过调用存储过程的名字以及传入相应的参数来使用存储过程。要高层次的掌握存储过程,不能觉得依葫芦画瓢,觉得造出来的存储过程能够跑出结果就OK。一定要站在一定的高度,看清它的全貌:

选择使用存储过程的优势

  • 执行效率快; 存储过程工作于服务器中,距离数据最近,因此对数据的操作快,和一般SQL语句比,它无需网络通信开销,解析开销,和优化器开销等。
  • 实现代码重用,接口处理逻辑一致; 存储过程可以理解为一种抽象级比较低或者说比较具体的函数。因此,可以实现供系统多次反复调用,实现了代码的重用,保证了系统业务处理的一致性。
  • 可以简化代码的维护和版本更新;存储过程部署在服务器端,因此可以所有的备份和维护都可以在服务器上进行。而且如果一些业务逻辑做出修正,也可以在服务上修正存储过程,一定程度上减少了客户端的升级次数。
  • 提升安全,实现更细粒度的权限控制。

使用存储过程的弊端

  • 缺乏行之有效的开发和调试工具;存储过程的开发和调试与应用程序代码是无法相提并论的,感觉存储过程的调试更像单纯的使用“打印调试”。因此,开发效率和调试上有一定的折扣。
  • 实现业务 逻辑的灵活度和*度略差;这点主要是和应用程序开发作比较的,存储过程中没有应用程序语言中丰富多彩的函数,因此用起来总感觉需要一些“巧妙的设计”在里面,对于发烧的字符串操作和维护,使用起来并没有编程序言那样轻松自如。
  • 对数据库服务器增加了额外的压力,同时数据库服务器的扩展性也相对较差。
  • mysql中并没有什么选项对存储过程的资源消耗进行控制,如果存储过程中出现了一个错误,可能会对整个数据库服务器造成较大的影响。

存储过程定义细节

存储过程在定义的时候,有一些关键字的含义以及语句还是需要搞明白的好,诸如分隔符的临时重定义,调用存储过程的权限控制等。

在sqllog等这些工具中新建一个存储过程就会出现一下属性和定义:

DELIMITER $$

CREATE
/*[DEFINER = { user | CURRENT_USER }]*/
PROCEDURE `my_db`.`heat_test1`()
/*LANGUAGE SQL
| [NOT] DETERMINISTIC
| { CONTAINS SQL | NO SQL | READS SQL DATA | MODIFIES SQL DATA }
| SQL SECURITY { DEFINER | INVOKER }
| COMMENT 'string'*/
BEGIN END$$ DELIMITER ;

重新定义分隔符"; "

在mysql的客户端中向服务器传送存储过程的时候,如果不重新定义分号,mysql服务器接收到第一个分号的时候,会以为这条语句传送完毕,因此分割了整个存储过程;为了能够完整的将存储过程传送到服务器,务必需要暂时定义mysql的分隔符即分号;

使用 delimiter 关键字可以重新定义分隔符,比如 mysql> delimiter //;当然可以想使用你喜欢的字符代替“//”,但是不要使用“\”,因为该符号在mysql中是转移字符。

当整个存储过程传送完毕后,一定要记得将分隔符重新定义为分号。

选择合适的接入控制权限

对于每一个存储过程,可以有一个“DEFINER”的属性,这个属性是一个mysql中的账户名,比如root等。这个属性帮助在调用存储过程的时候,根据上下文的环境确定其权限。如果这个属性没有明确给出,那么mysql默认为创建该存储过程的用户为这个属性的值。

此外,存储过程中还有一个SQL SECURITY { DEFINER | INVOKER }来决定使用存储过程的定义者或者是调用者的上下文环境。如果是DEFINER,那么这个存储过程在调用的时候就会拥有创建者指定账户的权限,如果是INVOKER,那么执行这个存储过程的时候就会拥有调用者的权限。

CREATE DEFINER = 'admin'@'localhost' PROCEDURE p1()
SQL SECURITY DEFINER
BEGIN
UPDATE t1 SET counter = counter + 1;
END;

上面的存储过程的SQL SECURITY定义的是DEFINER,因此对于任何有权限调用p1的用户都可以用call来调用该存储过程,但是在存储过程执行的过程中,上下文环境将切换到'admin'@'localhost'用户下,也就是说调用者的权限对此存储过程无效(调用者可以没有对t1表updata权限,只要'admin'@'localhost'有即可),在这个存储过程执行的时候,所拥有的权限是'admin'@'localhost'所拥有的。

CREATE DEFINER = 'admin'@'localhost' PROCEDURE p2()
SQL SECURITY INVOKER
BEGIN
UPDATE t1 SET counter = counter + 1;
END;

当存储过程p2的SQL SECURITY定义为INVOKER的时候,这个时候存储执行的上下文环境将在调用者上下文环境中执行,也就是说,这个时候调用者的权限必须要有对t1表的访问和修改权限。

存储过程中,DEFINER属性的设置规则以及提高安全的策略

  • 1 你只可以将自己的账户名设置为DEFINER的属性假如没有超级权限,如果有超级权限才可以设置其他用户的账户名作为该属性的值。
  • 2 应该尽量使用SQL SECURITY INVOKER来定义存储过程,这样会规避不必要的越限。
  • 3 如果使用SQL SECURITY DEFINER,而且指定的账户具有超级权限,再三分析是否必须这样。
  • 4 管理员为了限制用户随意指定DEFINER的属性为超级权限,应该谨慎的分配给用户超级权限。

通过这样的权限设置,可以实现更细粒度以及更*的权限设置。同时,基于安全的问题也要时时考虑到。

参考文献

[1] 高性能mysql

[2] mysql官方网站