困扰 MySQL 用户多年的问题,它只用一个插件就解决了!

最新推荐文章于 2025-11-20 14:39:29 发布
原创 最新推荐文章于 2025-11-20 14:39:29 发布 · 948 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql #数据库 #金仓数据库

目录

前言

上周有个朋友问我:“哥,我们刚从 MySQL 8.0 迁到金仓数据库的 MySQL 兼容模式,发现一个很神奇的 BUG”!

当我在金仓数据库中新建了一个用户以及表,没有对这个用户授权该表的访问权限,但是可以在 sys_class 表中查询到这个表的信息。

也就是说,即使用户没有表的访问权限,也能从系统表(sys_class)查询到该表的存在和元数据信息,这是金仓数据库的 BUG 还是 MySQL 原来就存在这种问题呢?

其实,这既不是金仓的 BUG,也不是 MySQL 的 BUG,而是一个长期存在的数据库安全设计问题。 值得一提的是,金仓数据库在近期将会发布一个新的功能插件 security_utils,针对这个问题进行修复,避免元数据的泄露问题,也是对 MySQL 兼容模式的安全增强!

我这里也是申请到了内测版的安装包,本文将演示一下如何使用 security_utils 插件进行用户的权限隔离,避免元数据泄露!

MySQL 数据库

MySQL 数据库确实存在元数据泄露的问题:

-- 即使用户没有权限,也能查询到表的存在
  mysql> SELECT table_name FROM information_schema.tables
         WHERE table_schema = 'mydb';
  +------------+
  | table_name |
  +------------+
  | orders     |
  | customers  |
  | salaries   |  -- 工资表,敏感!
  +------------+

这是 MySQL 的默认设计,不是 BUG,但确实是安全隐患。从 MySQL 5.x 版本到 MySQL 8.0+ 版本都有相关的改进:

版本行为
MySQL 5.x所有用户可查看所有数据库的表结构
MySQL 8.0+引入部分隔离,但仍可探测表存在性

但注意:即使 MySQL 8.0,默认仍可通过 SHOW TABLESinformation_schema 查看未授权表的名称。

金仓数据库

正如开头的朋友所说,金仓数据库也是存在这种设计问题,下面我用一个例子进行还原。

首先,创建一个表以及用户:

kingbase=# CREATE TABLE orders (
order_id INT PRIMARY KEY,
customer_id INT,
amount DECIMAL(10,2),
order_date DATE);

kingbase=# INSERT INTO orders VALUES
(1, 1001, 5999.00, '2024-11-01'),
(2, 1002, 3299.00, '2024-11-15');

kingbase=# CREATE USER finance with password 'Finance@123';

切换到 finance 用户查询:

kingbase=# \c - finance
用户 finance 的口令:
您现在以用户名"finance"连接到数据库"kingbase"。
kingbase=> select oid,relname from sys_class where relname='orders';
  oid  | relname
-------+---------
 16644 | orders

kingbase=> select * from orders;
ERROR:  permission denied for table orders

kingbase=> \dt
              关联列表
 架构模式 |  名称  |  类型  | 拥有者
----------+--------+--------+--------
 public   | orders | 数据表 | system

kingbase=> \d orders
                  数据表 "public.orders"
    栏位     |     类型      | 校对规则 |  可空的  | 预设
-------------+---------------+----------+----------+------
 order_id    | integer       |          | not null |
 customer_id | integer       |          |          |
 amount      | numeric(10,2) |          |          |
 order_date  | date          |          |          |
索引:
    "orders_pkey" PRIMARY KEY, btree (order_id NULLS FIRST)

可以发现,此时 finance 用户并没有表 orders 的访问权限,但是仍然可以通过 sys_class 查看到 orders 表的元数据,甚至是表结构,这是十分不安全。

加载插件

金仓数据库提供用户权限隔离功能,用户权限隔离功能开启后,普通用户只能查看有权访问的对象(表、函数、视图、字段等)。

用户权限隔离功能开启需要加载插件 security_utils,在使用 security_utils 之前,我们需要将他添加到 kingbase.conf 文件的 shared_preload_libraries 中,并重启 KingbaseES 数据库:

shared_preload_libraries = 'security_utils'

重启数据库生效:

[kingbase@kesv9:/install]$ sys_ctl restart -D /data/
等待服务器进程关闭 .... 完成
服务器进程已经关闭
等待服务器进程启动 ....2025-08-27 00:08:29.862 CST [93180] LOG:  config the real archive_command string as soon as possible to archive WAL files
2025-08-27 00:08:29.869 CST [93180] LOG:  sepapower extension initialized
2025-08-27 00:08:29.903 CST [93180] LOG:  starting KingbaseES V009R003C012
2025-08-27 00:08:29.903 CST [93180] LOG:  listening on IPv4 address "0.0.0.0", port 54321
2025-08-27 00:08:29.903 CST [93180] LOG:  listening on IPv6 address "::", port 54321
2025-08-27 00:08:29.905 CST [93180] LOG:  listening on Unix socket "/tmp/.s.KINGBASE.54321"
2025-08-27 00:08:29.986 CST [93180] LOG:  redirecting log output to logging collector process
2025-08-27 00:08:29.986 CST [93180] HINT:  Future log output will appear in directory "sys_log".
 完成
服务器进程已经启动

开启权限隔离功能:

kingbase=# \c - system
您现在以用户名"system"连接到数据库"kingbase"-- 开启功能
kingbase=# create extension kdb_schedule;
CREATE EXTENSION
kingbase=# create extension security_utils;
CREATE EXTENSION

至此,用户隔离的插件已开启。

实战演示

接下来,演示一下 Kingbase MySQL 兼容模式如何进行用户权限隔离。

数据库级别开启用户权限隔离:

kingbase=> \c - system
用户 system 的口令:
您现在以用户名"system"连接到数据库"kingbase"。
kingbase=# alter database kingbase enable object isolation;
ALTER DATABASE

再切换到 finance 用户查询:

kingbase=# \c - finance
用户 finance 的口令:
您现在以用户名"finance"连接到数据库"kingbase"。
kingbase=> select oid,relname from sys_class where relname='orders';
 oid | relname
-----+---------
(0 行记录)

kingbase=> \dt
Did not find any relations.
kingbase=> \d orders
Did not find any relation named "orders".

已经无法查询到 sys_class 中 orders 表的信息,包括元数据以及表结构,都已经无法查看。

如果想要访问以上元数据,则需要人为进行授权该表给用户才行:

kingbase=> \c - system
用户 system 的口令:
您现在以用户名"system"连接到数据库"kingbase"。
kingbase=# grant select on table orders to finance;
GRANT

再切换到 finance 用户查询:

kingbase=# \c - finance
用户 finance 的口令:
您现在以用户名"finance"连接到数据库"kingbase"。
kingbase=> select oid,relname from sys_class where relname='orders';
  oid  | relname
-------+---------
 16644 | orders
(1 行记录)

kingbase=> \dt
              关联列表
 架构模式 |  名称  |  类型  | 拥有者
----------+--------+--------+--------
 public   | orders | 数据表 | system
(1 行记录)

kingbase=> \d orders
                  数据表 "public.orders"
    栏位     |     类型      | 校对规则 |  可空的  | 预设
-------------+---------------+----------+----------+------
 order_id    | integer       |          | not null |
 customer_id | integer       |          |          |
 amount      | numeric(10,2) |          |          |
 order_date  | date          |          |          |
索引:
    "orders_pkey" PRIMARY KEY, btree (order_id NULLS FIRST)

可以发现,金仓数据库通过插件方式实现了开关式的一键开关用户权限隔离功能,十分方便快捷。

金仓数据库的这个功能,技术底层实现依赖 行级安全策略(Row-Level Security, RLS),通过修改数据库状态,为当前数据库具有 ACL 字段的系统表统一添加配置好的 RLS,通过 RLS 筛选以实现普通用户只能查看有权访问的对象(表、函数、视图、字段等)的目的。

写在最后

在数字化时代,数据安全至关重要,数据库权限管理是核心保障。金仓数据库通过 security_utils 插件提供了超越 MySQL 原生能力的安全特性,补齐了 Oracle 级别的安全特性,通过插件化实现,兼顾灵活性和安全性。

同时,金仓数据库高度兼容 MySQL 的语法与基本功能,降低应用迁移成本,还在权限管理上实现功能增强,能满足金融、医疗等领域复杂需求,为企业数字化转型提供可靠数据安全支撑。

数据查询优化技术方案
zenglingmin8的博客
08-06 782
本文主要探讨实际运用中数据查询方案优化
layui实现文件压缩上传_tp5+layui 实现上传大文件
weixin_39609887的博客
12-29 1037
前言:之前所写的文件上传类通常进行考虑的是文件的类型、大小是否符合要求条件。当上传大文件时就要考虑到php的配置和服务器的配置问题。之前简单的觉得只要将php.ini中的表单上传的 大小,单脚本执行的最大时间都配 大就行了。显然这是很小白吃的做法。这样改完之后页面及服务器还是会崩溃。差不多几百兆这样吧。所以查阅资料,采用将大文件分割上传的方式来解决。这里进行记录下。内容:首先记录下更改文件上传大小...
MySQL这一章就够了(一)
Dusttang的博客
09-02 5803
MySql笔记 MySQL是关系型数据库,基于SQL查询的开源跨平台数据库管理系统。它最初是由瑞典MySQL AB公司开发的。现在它是Oracle Corporation的分支机构。 Mysql特点: 开源、兼容多个平台、扩展性强 数据库三大范式: 为避免数据冗余、操作异常和性能问题,需进行数据规范化。 数据库的三大范式: 第一范式:确保每列都是不可再分的最小数据单元 第二范式:确保每列都与主键相关 第三范式:确保表中各列必须和主键相关,不存在依赖关系。 一、SQL简述 1、SQL的概述 Struct
MySQL
lyw4631的博客
04-14 1482
文章目录基础架构:一条SQL语句查询是如何执行的连接器查询缓存分析器优化器执行器小结一个问题日志系统:一条SQL更新语句是如何执行的事务隔离深入显出索引全局锁和表锁行锁功过事务到底是隔离的还是不隔离的?普通索引和唯一索引,应该怎么选?MySQL为什么有时候会选错索引?如何给字符串字段加索引MySQL会“抖”一下?表数据删掉一半,表文件大小不变?count(*)慢吗日志和索引相关问题“order by”如何工作?如何正确显示随机信息以下SQL语句逻辑相同,性能差异巨大只差一行,执行也慢?幻读是什么,有什么问题
深入浅出Mysql
weixin_43837268的博客
03-13 1951
不同存储引擎的表数据存取方式不同,支持的功能也不同,在后面的文章中,我们会讨论到引擎的选择。但是全部使用长连接后,你可能会发现,有些时候 MySQL 占用内存涨得特别快,这是因为 MySQL 在执行过程中临时使用的内存是管理在连接对象里面的。平时我们使用数据库,看到的通常都是一个整体。Server 层包括连接器、查询缓存、分析器、优化器、执行器等,涵盖 MySQL 的大多数核心服务功能,以及所有的内置函数(如日期、时间、数学和加密函数等),所有跨存储引擎的功能都在这一层实现,比如存储过程、触发器、视图等。
mysql 实战 45讲 学习笔记 基础知识 原理剖析
zhou_bin_的博客
12-20 4245
MySQL 实战45讲 持续更新中~ 00讲 开篇 我们知道如何写出逻辑正确的SQL语句来实现业务目标,却不确定这个语句是不是最优的 我们听说了一些使用数据库的最佳实践,但是更想了解为什么这么做 我们使用的数据库偶尔会出问题,亟需了解如何更快速、更准确地定位问题,甚至自己解决问题…… 希望通过学习能够理解亿点点原理 01讲 基础架构:一条SQL查询语句是如何执行的 下面我给出的是MySQL的基本架构示意图,从中你可以清楚地看到SQL语句在MySQL的各个功能模块中的执行过程。 大体来说,MySQL可以
mysql日志监控 zabbix_zabbix 监控mysql日志
weixin_39540023的博客
12-19 690
Zabbix-2.2.2监控MySQL的复制一.zabbix agentd的安装123456789101112131415161718192021groupadd zabbixuseradd-g zabbix -G zabbix -s/sbin/nologin-d/dev...文章科技小能手2017-11-12768浏览量权限问题导致zabbix无法监控mysql说说一个困扰自已两天的问题...
MySQL学习【个人笔记/已完结】
Kisaragi_Pi的博客
03-31 1026
个人有关于MySQL的笔记
MySQL索引之全文索引(FULLTEXT)
小麦苗DBA宝典
09-08 2246
MySQL索引之全文索引(FULLTEXT) MySQL创建全文索引 使用索引时数据库性能优化的必备技能之一。在MySql...
MySQL实战45讲之实战篇(上)
小小博客
07-24 327
深入学习MySQL,啥都不说了,就是干!
MySql面试题
weixin_45743816的博客
02-28 660
一 正确认识B树和B+树 (从二叉树到B+树)https://zhuanlan.zhihu.com/p/27700617 二 一条SQL查询语句是如何执行的 mysql的基本架构示意图 大体来说,MySQL 可以分为 Server 层和存储引擎层两部分。 Server 层包括连接器、查询缓存、分析器、优化器、执行器等,涵盖 MySQL 的大多数核心服务功能,以及所有的内置函数(如日期、时间、数学和加密函数等),所有跨存储引擎的功能都在这一层实现,比如存储过程、触发器、视图等。 而存储引擎层负责数据的存储和
最新八股文面试题
weixin_44530708的博客
03-01 3024
最新八股文面试题
2020 年的 C++ 用来做什么 爱立信、华为和西门子 Space X TensorFlow LLVM ADAS 嵌入式系统 元编程 编码指南 静态分析
万有文的博客
04-23 1532
C++ 的使用领域绝大部分与 2006 年相同(虽然有一些新的领域,但在大多数情况下,我们看到的 C++ 还是在相同或类似的领域中被更加广泛和深入地使用。C++ 没有突然成为一种面向 Web 应用开发的语言,虽然即使在那种场景下仍有人用 C++ [Obiltschnig et al. 2005]。对于大多数程序员来说,C++ 依然是某种隐没在后台的东西,稳定、可靠、可移植、高性能。最终用户是看不见 C++ 的。编程风格则有更加巨大的变化。比起 C++98,C++11 是门好得多的语言。
乐优、青橙商城相关技术总结
lph-China的博客
05-26 5075
乐优、青橙商城相关技术总结 文章目录乐优、青橙商城相关技术总结SSMSpringSpringMVCmybatis通用MapperzookeeperElementUIES6OSSVue黑马架构师DubboSpringBootSpringCloudSpringDataSpring SecurityEurekaRibbonHystrix简介雪崩问题FeignZuulVuetifyNginxnginx作为web服务器nginx作为反向代理CORSFastDFSElasticsearchElasticElastics
MySQL 批量删除海量数据的几种方法
2509_94005984的博客
11-17 831
可以将批量删除逻辑封装成存储过程,利用存储过程自动控制批量删除过程。方法适用场景优点缺点LIMIT分批删除需要简单分批删除逻辑简单,减少锁表时间需循环操作主键范围分批删除有连续主键的表高效,无偏移开销需手动指定范围自定义批量删除存储过程小批量删除自动化操作需要数据库支持存储过程临时表替换删除数据量非常大避免锁表,减少日志开销需要额外磁盘空间根据不同的业务场景和需求,选择合适的批量删除方式可以提高 MySQL 的删除效率,减少对数据库的影响。
MySQL系列之基础信息和实际应用
Armyyyyy丶的博客
11-18 372
MySQL基础入门指南,主要介绍了MySQL的安装配置、基础架构、核心概念(如存储引擎、索引、事务)以及备份恢复、主从复制等基础运维操作,适合初学者快速了解MySQL的核心特性和基本使用方法
MySQL max_allowed_packet配置全解析
Franciz777的博客
11-17 836
MySQL中max_allowed_packet参数在不同场景下的配置区别: [mysqld]:控制服务端接收/发送的数据包大小,影响大字段插入和查询 [client]/[mysql]:限制命令行客户端接收数据包大小,影响查询结果接收 [mysqldump]:控制备份工具处理单行数据大小,影响大字段备份 这三个配置相互独立,需要分别设置。常见备份或导入失败问题多为未正确配置对应区块的max_allowed_packet参数所致,不能仅修改服务端参数。
CDC:如何用 MySQL 实现真正的实时数据同步
最新发布
qq_43657722的博客
11-20 879
CDC 让 MySQL 变成一个实时事件流系统,把每一次数据变化都转成可订阅的事件,不再需要昂贵的批处理。 本文深入解析了 MySQL CDC 的核心机制(Binlog)、三种捕获方式、ROW 模式的重要性、事件结构、应用场景、企业常见陷阱,并结合电商、风控、推荐系统等典型场景展示 CDC 如何让系统实时且一致。 CDC 并非万能,但在真正需要实时性的系统中,它是最强、最稳、最具扩展性的架构模式。
SpringBoot中集成海康威视出入口抓拍实现多个摄像头布防与抓拍照片存储+普通摄像头手动抓拍图片并将数据存储进redis+mysql,附完整示例代码下载
BADAO_LIUMANG_QIZHI的博客
11-18 888
本文介绍了基于SpringBoot集成海康威视SDK实现多摄像头布防报警系统的开发实践。主要内容包括: 系统架构:使用SpringBoot框架集成海康SDK,实现了多摄像头管理、图片抓拍、数据存储等功能模块。 核心功能实现: 多摄像头配置与管理:通过yml文件配置多个摄像头参数 SDK集成与布防:实现了SDK加载、设备登录、报警布防等功能 图片抓拍与存储:支持自动抓拍和手动抓拍两种模式 数据缓存与持久化:使用Redis缓存抓拍数据,定时任务将数据存入MySQL 关键技术点: 多摄像头并发管理 图片路径映射为
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lucifer三思而后行

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值