概述
我们在mysql创建view、trigger、function、procedure、event时都会定义一个Definer=‘xxx’,类似如下:
![a5d73298e55d40ba2e22aaa9e2542728.png](https://i-blog.csdnimg.cn/blog_migrate/0db4ea34fa1e34e6b2f3f96c076aeb4a.jpeg)
加红的部分SQL SECURITY 其实后面有两个选项,一个为DEFINER,一个为INVOKER
SQL SECURITY { DEFINER | INVOKER } :指明谁有权限来执行。DEFINER 表示按定义者拥有的权限来执行
INVOKER 表示用调用者的权限来执行。默认情况下,系统指定为DEFINER
DEFINER/INVOKER区别
1、创建一个definer存储过程
![e4ba7633bd5aad7835a4ecbc97470045.png](https://i-blog.csdnimg.cn/blog_migrate/b72fd424257da1f86f93ba8a03ef8886.jpeg)
用root帐号登陆:
![79f4029bd532f5f37a007e1e2d98a32d.png](https://i-blog.csdnimg.cn/blog_migrate/bd50970b4efb741b937f383e16a32200.jpeg)
发现系统报错查询不到了,这是因为在上述定义的SQL SECURITY值为INVOKER,存储过程执行过程中会以user1具有的权限来执行,其中调用到了mysql的库,而我们的user1帐户只有testdb库的使用权限,所以会返回失败。
2、修改为invoker存储过程
![7a65d3bf8e47d44c4b5901bde73bc2d7.png](https://i-blog.csdnimg.cn/blog_migrate/aea45da091796d1e6e37a2b13b19037f.jpeg)
发现可以查询出来了,因为user1对存储过程user_count有执行的权限,虽然它依旧没有权限直接操作mysql库,由于我们定义的SQL SECURITY为DEFINER,所以在执行时是以root的身份执行的,所以可以正常查询出来。
修改mysql中所有已经定义到的definer
因为开发经常用root来创建函数或者创建存储过程,定义到的definer为`root`@`%`,存在着大量的更新,上百个的视图,函数等一个个改不免太麻烦并且也可能遗漏。如下为总结出的方便修改所有definer的方法,可以直到查漏补缺的作用。
现在在mysql涉及的definer有view、trigger、function、procedure、event。
1.修改function、procedure的definer
select definer from mysql.proc; -- 函数、存储过程update mysql.proc set definer='user@localhost'; -- 如果有限定库或其它可以加上where条件
2.修改event的definer
select DEFINER from mysql.EVENT; -- 定时事件update mysql.EVENT set definer=' user@localhost ';
3.修改view的definer
相比function的修改麻烦点:
select DEFINER from information_schema.VIEWS;select concat("alter DEFINER=`user`@`localhost` SQL SECURITY DEFINER VIEW