mysql存储过程安全使用
连接数据库:
mysql -u a -p test
用户a需要能连接到数据库test,同时能执行存储过程getuserinfo(),不允许有任何其它权限。
grant execute on test.* to a@localhost;
grant execute on procedure getuserinfo to a@localhost;
getuserinfo()会操作数据表返回需要的数据,类似可在getuserinfo()中增加用户名和密码验证,对不同用户可返回不同级别的数据。
mysql存储过程可以在内部指定是DEFINER还是INVOKER权限,在存储过程内加上以下语句:
sql security invoker
注意不要有分号,否则会出错。
存储过程缺省是definer权限,也可以直接设置存储过程是definer还是invoker权限:
alter procedure getuserinfo sql security invoker;
这样的好处也很明显,不同调用用户有不同权限。
mysql存储过程参数中似乎无法返回游标或结果集,返回独立数据,可如下取法:
cur.callproc('getuserinfo', param)
cur.execute('select @_getuserinfo_0')
要返回结果集一种方式是用临时表,另外如下调用也可取到结果集:
cur.execute('call getuserinfo5()', param)
data=cur.fetchall()
当有多个结果集返回时可用cur.nextset()跳到下一个结果集再取数据。
又要从参数返回值,存储过程内又有结果集的话,不能直接调用cur.execute('select @_getuserinfo_0'),需要用nextset()跳过已有
结果集,再调用cur.execute('select @_getuserinfo_0')取得返回参数值。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
