MySQL触发器之审计功能(转)

时间:2024-01-11 15:00:20

导读

最近ITPUB技术论坛特意组织网络性讨论活动,关于数据库审计的话题,分享各自公司如何实现数据库审计、个人经验和构想,以及数据库审计的技巧,刚好有网友发了一个典型的审计需求,要帮他分析,以及教其如何实现,为此把内容整理成一片文章分享,供大家参考。

MySQL触发器的用处还是非常多地,关键看业务需要,曾经给大家介绍过基于存储引擎MEMORY加触发器的应用场景之一剖析。通过阅读本文,将会告诉大家:触发器的语法知识、触发器的限制、审计案例分析和实现,将逐一讲解。

n  语法

CREATE

[DEFINER = { user | CURRENT_USER }]

TRIGGER trigger_name trigger_time trigger_event

ON tbl_name FOR EACH ROW trigger_stmt

DEFINER:指定触发器的创建者,默认为登录mysqld服务器的账号信息;

trigger_name:触发器的名称,要符合mysql对待数据库对象命名的规范;

trigger_time:触发表上的触发器语句体执行的时间:行更新前还是行更新后,2个选项值:

BEFOR or AFTER;

tbl_name:指定触发器是对应那一个数据库对象:表的;

trigger_stmt:为触发器内部可执行的语句体;

n  触发器限制

l  拥有触发器的数据库对象必须为实体表,不能为临时表或视图;

l  MyISAM、MEMORY、InnoDB等常用存储引擎都支持触发器功能;

l  触发器支持INSERT类操作:INSERT、LOAD DATA、REPLACE;

l  触发器支持UPDATE操作;

l  触发器支持DELETE操作,但是不支持DROP TABLE 、TRUNCATE操作;

l  处发起能支持字句:INSERT INTO … ON DUPLICATE KEY UPDATE …;

l  一个数据库中的对象表,不能对同一触发事件有2个或以上的触发器同时响应;

l  一个数据库中不能有同名的触发器程序;

l  触发器无法显示调用执行,也无法像函数或存储过程一样显示地传递参数;

l  通过关键字OLD.column_name获得的值不能通过SET命令修改,但是关键字NEW获得的值能通过SET NEW.column_name=VALUE方式修改;

l  触发器的处理部分不能含有事务的关键字,例如:COMMIT、ROLLBACK等;

l  创建了触发器的表,若支持事务,则触发器也会受事务执行成功还是失败的影响,且触发器程序执行成功还是失败,也会影响事务的执行是成功还是失败;若不支持事务,则也无法支持事务的回滚操作;

n  审计案例

有一张存储车辆收费信息的表t_car,因业务要求,程序要有对该表的数据修改权限,为此需要审计对该表上数据的记录值修改信息,以备查询、跟踪。表t_car结构:

CREATE TABLE t_car(

`ID` INT UNSIGNED NOT NULL AUTO_INCREMENT,

`car_number`   VARCHAR(45)  DEFAULT ” COMMENT ‘车牌号’,

`card_number`  VARCHAR(45)  DEFAULT ” COMMENT ‘卡片编号’,

`pay`          DECIMAL(6,1)  DEFAULT 0 COMMENT ‘金额’,

PRIMARY KEY(`id`)

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

审计存储的内容:

  1. 修改前pay字段的值;
  2. 修改后pay字段的值;
  3. 记录被修改的时间;
  4. 登陆数据库服务器修改数据的ip地址、帐号信息;

为此审计表的结构为:

CREATE TABLE  t_record(

`ID` INT UNSIGNED NOT NULL AUTO_INCREMENT,

`username`     VARCHAR(45)       DEFAULT ” COMMENT ‘登录mysql的用户名’,

`client_ip`      VARCHAR(45)  DEFAULT ” COMMENT ‘远程访问mysql服务器的客户端ip地址’,

`update_Before`  VARCHAR(45)         DEFAULT ” COMMENT ‘修改前的金额’,

`update_After`   VARCHAR(45)         DEFAULT ” COMMENT ‘修改后的金额’,

`gmt_create`    TIMESTAMP NOT NULL DEFAULT ’0000-00-00 00:00:00′ COMMENT ‘创建时间’,

PRIMARY KEY (`id`)

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

我们可以使用触发器记录所有用户对表t_car,进行UPDATE操作修改数据的行为进行记录,触发器语句体:

DELIMITER $$ CREATE TRIGGER tri_t_car BEFORE UPDATE ON t_car FOR EACH ROW BEGIN IF NEW.pay<>OLD.pay THEN INSERT INTO t_record(username,client_ip,update_Before,update_After,gmt_create) VALUES(SUBSTRING_INDEX(USER(),’@',1),SUBSTRING_INDEX(USER(),’@',-1),OLD.pay,NEW.pay,NOW()); END IF; END $$ DELIMITER ;

测试:

测试用例的数据生成语句:

INSERT INTO t_car(car_number,card_number,pay)

VALUES(SUBSTRING(RAND(),3,20),SUBSTRING(RAND(),3,10),SUBSTRING(RAND(),3,3)),

(SUBSTRING(RAND(),3,20),SUBSTRING(RAND(),3,10),SUBSTRING(RAND(),3,3)),

(SUBSTRING(RAND(),3,20),SUBSTRING(RAND(),3,10),SUBSTRING(RAND(),3,3));

root@localhost : test 11:14:49> SELECT * FROM t_car;

+—-+—————–+————-+——-+

| ID | car_number      | card_number | pay   |

+—-+—————–+————-+——-+

|  1 | 933606902075565 | 4065322181  | 231.0 |

|  2 | 939605452064057 | 0025060456  | 193.0 |

|  3 | 96105140723386  | 2241153588  | 237.0 |

+—-+—————–+————-+——-+

3 rows in set (0.00 sec)

修改目标表数据的测试语句:

UPDATE t_car SET pay=100.5 WHERE ID=1;

查询审计信息存储的表:

root@localhost : test 11:15:51> SELECT * FROM t_record;

+—-+———-+———–+—————+————–+———————+

| ID | username | client_ip | update_Before | update_After | gmt_create          |

+—-+———-+———–+—————+————–+———————+

|  1 | root     | localhost | 231.0         | 100.5        | 2011-07-08 11:15:51 |

+—-+———-+———–+—————+————–+———————+

1 row in set (0.00 sec)

可以看到需要审计的信息,都已经存储到对应的审计表中,到此触发器实现审计功能的需求就完整实现了。

n  总结

触发器的用处非常多,关键是要结合业务场景使用,本文给大家介绍了如何使用触发器实现数据库的审计功能;我们还可以借助触发器实现2张表之间的数据同步问题,配合MEMORY引擎可以解决该存储引擎缺陷:数据无法持久化,从而增强MEMORY引擎的使用场景;我们也可以利用触发器实现异地,甚至跨国界多数据库节点之间的数据同步业务需求,后续篇章给大家介绍,某著名电子商务公司利用触发器,加应用程序实现多数据节点之间的数据同步问题。

文章原地址:http://www.mysqlops.com/2011/07/08/mysql-trigger-audit.html