Melaksanakan keselamatan peringkat baris MySQL untuk akses yang halus

MySQL tidak mempunyai keselamatan peringkat baris terbina dalam (RLS), tetapi boleh dilaksanakan melalui pandangan, fungsi penyimpanan, dan kawalan kebenaran. 1. Gunakan pandangan untuk menapis baris dalam kombinasi dengan pembolehubah sesi, contohnya, data penapis berdasarkan @current_user_id apabila membuat pandangan; 2. Menggabungkan peraturan akses untuk logik kompleks dalam kombinasi dengan fungsi yang disimpan, seperti mendapatkan jabatan pengguna melalui fungsi dan menggunakannya untuk penapisan pandangan; 3. Mengehadkan akses pengguna ke jadual yang mendasari dan memberikan kebenaran hanya untuk mengelakkan penapisan; 4. Bersama-sama, kaedah ini melaksanakan kawalan akses halus di MySQL.

MySQL tidak mempunyai ciri keselamatan baris terbina dalam (RLS) seperti PostgreSQL, tetapi anda masih boleh melaksanakan kawalan akses halus menggunakan pandangan, fungsi yang disimpan, dan kebenaran pengguna yang betul. Berikut adalah cara untuk melakukannya dengan berkesan tanpa bergantung pada alat luaran.

Gunakan pandangan untuk menapis baris berdasarkan konteks pengguna

Cara yang paling biasa untuk mensimulasikan keselamatan peringkat barisan di MySQL adalah dengan menggunakan pandangan. Pandangan boleh menyekat baris yang dilihat oleh pengguna berdasarkan maklumat identiti atau sesi mereka.

Oleh kerana MySQL tidak menyokong pemboleh ubah sesi seperti CURRENT_USER() secara langsung dalam pandangan untuk penapisan dinamik, anda boleh bekerja di sekitar ini dengan:

• Menyimpan pengguna semasa dalam pemboleh ubah sesi di log masuk (misalnya, @current_user_id )
• Membuat pandangan yang menapis baris menggunakan pembolehubah itu

Contohnya:

 Buat Lihat Sales_data sebagai
Pilih *
Dari jualan
Di mana user_id = @current_user_id;

Apabila pengguna menanyakan paparan sales_data , mereka hanya akan melihat data mereka sendiri, dengan syarat @current_user_id ditetapkan dengan betul sebelum mereka menjalankan pertanyaan mereka.

Petua: Pastikan untuk menetapkan pemboleh ubah sesi selepas log masuk dan sebelum sebarang pertanyaan data. Ini boleh dikendalikan dalam logik aplikasi atau middleware sambungan anda.

Campurkan pandangan dengan fungsi yang disimpan untuk logik dinamik

Jika peraturan akses anda lebih kompleks daripada padanan ID pengguna yang mudah, anda boleh membuat fungsi yang disimpan untuk merangkum logik.

Sebagai contoh, jika pengguna mempunyai peranan dan jabatan, dan akses bergantung kepada gabungan faktor -faktor tersebut, fungsi yang disimpan dapat mengembalikan boolean atau nilai penapis yang digunakan oleh paparan.

Contoh:

 Pemendek //
Buat fungsi get_user_department (user_id int)
Mengembalikan int
Deterministik
Membaca data SQL
Mulakan
    Mengisytiharkan dept_id int;
    Pilih jabatan_id ke DEPT_ID dari pengguna di mana id = user_id;
    Kembali dept_id;
Akhir //
Pembatas;

Kemudian gunakannya dalam pandangan:

 Buat paparan jabatan_sales sebagai
Pilih *
Dari jualan
Di mana jabatan_id = get_user_department (@current_user_id);

Ini membolehkan anda memusatkan logik akses dan menggunakannya semula di pelbagai pandangan.

Hadkan akses pengguna ke jadual asas

Sebaik sahaja anda telah membuat pandangan yang menguatkuasakan akses peringkat baris, penting untuk menyekat akses langsung ke jadual yang mendasari .

Hanya membenarkan pengguna untuk menanyakan pandangan, bukan jadual asal. Ini memastikan mereka tidak dapat memintas penapis.

Langkah -langkah untuk melakukan ini:

• Membatalkan semua keistimewaan pada jadual asas dari pengguna biasa
• Geran Pilih (atau keistimewaan yang diperlukan) hanya pada pandangan yang berkaitan

Contoh:

 Membatalkan semua keistimewaan di mydb.sales dari 'sales_user'@'%';
Geran pilih pada mydb.sales_data ke 'sales_user'@'%';

Dengan cara ini, walaupun pengguna mengetahui nama jadual, mereka tidak dapat mengaksesnya secara langsung.

Pertimbangkan penguatkuasaan peringkat permohonan sebagai sandaran

Dalam sesetengah kes, terutamanya dengan peraturan akses yang kompleks atau multi-tenancy, mungkin lebih mudah atau lebih fleksibel untuk menguatkuasakan akses peringkat baris dalam kod aplikasi anda.

Ini bermaksud:

• Sentiasa sertakan klausa di mana penapis oleh id pengguna atau peranan
• Tidak pernah mempercayai input pelanggan; Sentiasa mengesahkan sisi pelayan akses
• Gunakan alat Orm yang menyokong pertanyaan penyewa yang menyedari

Sebagai contoh, dalam aplikasi web:

 user_id = get_current_user_id ()
pertanyaan = "pilih * dari jualan di mana user_id = %s"
cursor.execute (pertanyaan, (user_id,))

Ia lebih banyak kerja, tetapi ia memberi anda kawalan penuh dan mengelakkan bergantung pada pembolehubah sesi atau logik pandangan kompleks.

Melaksanakan keselamatan peringkat berturut-turut di MySQL tidak semudah dalam beberapa pangkalan data lain, tetapi dengan pandangan, pembolehubah sesi, dan pengurusan kebenaran yang teliti, anda boleh mencapai kawalan akses halus yang padat. Ingatlah untuk sentiasa menguji peraturan akses dengan teliti dan keizinan audit secara teratur.

Atas ialah kandungan terperinci Melaksanakan keselamatan peringkat baris MySQL untuk akses yang halus. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!