小白学习mysql之存储过程的优劣分析以及接入控制

存储过程的优劣

存储过程是一组实现特定功能的SQL语句集合，存储过程一经编译便存储在了服务器上，可以通过调用存储过程的名字以及传入相应的参数来使用存储过程。要高层次的掌握存储过程，不能觉得依葫芦画瓢，觉得造出来的存储过程能够跑出结果就OK。一定要站在一定的高度，看清它的全貌：

选择使用存储过程的优势

执行效率快；存储过程工作于服务器中，距离数据最近，因此对数据的操作快，和一般SQL语句比，它无需网络通信开销，解析开销，和优化器开销等。
实现代码重用，接口处理逻辑一致；存储过程可以理解为一种抽象级比较低或者说比较具体的函数。因此，可以实现供系统多次反复调用，实现了代码的重用，保证了系统业务处理的一致性。
可以简化代码的维护和版本更新；存储过程部署在服务器端，因此可以所有的备份和维护都可以在服务器上进行。而且如果一些业务逻辑做出修正，也可以在服务上修正存储过程，一定程度上减少了客户端的升级次数。
提升安全，实现更细粒度的权限控制。

使用存储过程的弊端

缺乏行之有效的开发和调试工具；存储过程的开发和调试与应用程序代码是无法相提并论的，感觉存储过程的调试更像单纯的使用“打印调试”。因此，开发效率和调试上有一定的折扣。
实现业务逻辑的灵活度和自由度略差；这点主要是和应用程序开发作比较的，存储过程中没有应用程序语言中丰富多彩的函数，因此用起来总感觉需要一些“巧妙的设计”在里面，对于发烧的字符串操作和维护，使用起来并没有编程序言那样轻松自如。
对数据库服务器增加了额外的压力，同时数据库服务器的扩展性也相对较差。
mysql中并没有什么选项对存储过程的资源消耗进行控制，如果存储过程中出现了一个错误，可能会对整个数据库服务器造成较大的影响。

存储过程定义细节

存储过程在定义的时候，有一些关键字的含义以及语句还是需要搞明白的好，诸如分隔符的临时重定义，调用存储过程的权限控制等。

在sqllog等这些工具中新建一个存储过程就会出现一下属性和定义：

DELIMITER $$

CREATE

    /*[DEFINER = { user | CURRENT_USER }]*/

    PROCEDURE `my_db`.`heat_test1`()

    /*LANGUAGE SQL

    | [NOT] DETERMINISTIC

    | { CONTAINS SQL | NO SQL | READS SQL DATA | MODIFIES SQL DATA }

    | SQL SECURITY { DEFINER | INVOKER }

    | COMMENT 'string'*/

    BEGIN

    END$$

DELIMITER ;

重新定义分隔符"; "

在mysql的客户端中向服务器传送存储过程的时候，如果不重新定义分号，mysql服务器接收到第一个分号的时候，会以为这条语句传送完毕，因此分割了整个存储过程；为了能够完整的将存储过程传送到服务器，务必需要暂时定义mysql的分隔符即分号；

使用 delimiter 关键字可以重新定义分隔符，比如 mysql> delimiter //;当然可以想使用你喜欢的字符代替“//”，但是不要使用“\”，因为该符号在mysql中是转移字符。

当整个存储过程传送完毕后，一定要记得将分隔符重新定义为分号。

选择合适的接入控制权限

对于每一个存储过程，可以有一个“DEFINER”的属性，这个属性是一个mysql中的账户名，比如root等。这个属性帮助在调用存储过程的时候，根据上下文的环境确定其权限。如果这个属性没有明确给出，那么mysql默认为创建该存储过程的用户为这个属性的值。

此外，存储过程中还有一个SQL SECURITY { DEFINER | INVOKER }来决定使用存储过程的定义者或者是调用者的上下文环境。如果是DEFINER，那么这个存储过程在调用的时候就会拥有创建者指定账户的权限，如果是INVOKER，那么执行这个存储过程的时候就会拥有调用者的权限。

CREATE DEFINER = 'admin'@'localhost' PROCEDURE p1()

SQL SECURITY DEFINER

BEGIN

  UPDATE t1 SET counter = counter + 1;

END;

上面的存储过程的SQL SECURITY定义的是DEFINER，因此对于任何有权限调用p1的用户都可以用call来调用该存储过程，但是在存储过程执行的过程中，上下文环境将切换到'admin'@'localhost'用户下，也就是说调用者的权限对此存储过程无效（调用者可以没有对t1表updata权限，只要'admin'@'localhost'有即可），在这个存储过程执行的时候，所拥有的权限是'admin'@'localhost'所拥有的。

CREATE DEFINER = 'admin'@'localhost' PROCEDURE p2()

SQL SECURITY INVOKER

BEGIN

  UPDATE t1 SET counter = counter + 1;

END;

当存储过程p2的SQL SECURITY定义为INVOKER的时候，这个时候存储执行的上下文环境将在调用者上下文环境中执行，也就是说，这个时候调用者的权限必须要有对t1表的访问和修改权限。

存储过程中，DEFINER属性的设置规则以及提高安全的策略

1 你只可以将自己的账户名设置为DEFINER的属性假如没有超级权限，如果有超级权限才可以设置其他用户的账户名作为该属性的值。
2 应该尽量使用SQL SECURITY INVOKER来定义存储过程，这样会规避不必要的越限。
3 如果使用SQL SECURITY DEFINER，而且指定的账户具有超级权限，再三分析是否必须这样。
4 管理员为了限制用户随意指定DEFINER的属性为超级权限，应该谨慎的分配给用户超级权限。

通过这样的权限设置，可以实现更细粒度以及更自由的权限设置。同时，基于安全的问题也要时时考虑到。

参考文献

[1] 高性能mysql

[2] mysql官方网站