只读视图本身不等于用户只读,WITH READ ONLY仅语法层禁DML,不校验底层表权限;真正生效需先回收原表权限、再授视图SELECT权,并REVOKE SHOW DATABASES等元数据权限,配合IP限制、密码过期等硬约束。
只读视图本身不等于用户只读,WITH READ ONLY 只防直接 DML,不防权限绕过
MySQL 的 CREATE VIEW ... WITH READ ONLY 仅在语法层阻止对视图执行 INSERT/UPDATE/DELETE,但它**完全不校验底层表权限**。如果用户同时有原表的 SELECT 权限,就能绕过视图直接查表;如果还有 EXECUTE 权限,甚至能调用含写逻辑的存储过程。真正起作用的是账号权限配置,不是视图定义里的 READ ONLY 关键字。
常见错误现象:CREATE VIEW v_orders AS SELECT id, status FROM orders WITH READ ONLY; 执行后,外包仍能 SELECT * FROM orders 或 SHOW CREATE TABLE orders——只要他们有原库的 SELECT 权限或没被禁用 information_schema 访问。
-
WITH READ ONLY对SELECT查询无影响,也不限制SHOW、DESCRIBE等元数据操作 - 视图若引用了未授权的表(如跨库查
mysql.user),创建会失败,但成功创建后不代表安全 - 旧版客户端(如某些 DBeaver 配置)会自动执行
SELECT COUNT(*) FROM information_schema.COLUMNS,暴露字段名
正确做法:先撤原表权限,再授视图权限,且必须 REVOKE SHOW DATABASES
只读视图要生效,核心是切断用户接触原始表和系统元数据的路径。不能只靠“建个视图”,得配合权限清理。
- 先回收用户对原表的所有权限:
REVOKE SELECT ON project_x.orders FROM 'outsourcer'@'%'; - 再创建视图并授予权限:
CREATE VIEW project_x.vw_orders AS SELECT id, order_no, status FROM project_x.orders WHERE status IN ('paid', 'shipped');,然后GRANT SELECT ON project_x.vw_orders TO 'outsourcer'@'%'; - 必须显式禁用元数据入口:
REVOKE SHOW DATABASES ON *.* FROM 'outsourcer'@'%';,否则SHOW DATABASES仍会列出所有库名 - 视图必须建在目标库下(如
project_x),且不能引用information_schema或其他未授权库中的表
验证是否真只读:连上去跑三句命令
别信 SHOW GRANTS 输出里只有 SELECT 就完事。实际连接后必须手动验证行为边界。
MySQL(Linux)
MySQL 9.6.0是面向Linux平台的2026年创新版本,核心架构迎来重大革新。其将外键约束与级联操作从InnoDB引擎层上移至SQL层,确保所有数据变更均被完整记录至Binlog,彻底解决了CDC(变更数据捕获)与主从复制中的数据不一致难题。此外,该版本引入container_aware启动选项以原生适配容器环境,并对审计日志进行了组件化重构,为追求极致数据一致性与云原生体验的开发者提供了全新选择。
下载
-
SHOW DATABASES;→ 应只显示当前授权库(如project_x),其他库名不可见 -
SELECT * FROM information_schema.TABLES LIMIT 1;→ 应报错ERROR 1142 (42000): SELECT command denied -
SELECT * FROM project_x.vw_orders;→ 成功;但SELECT * FROM project_x.orders;→ 必须报错command denied
漏掉任意一条,说明权限链没断干净——可能是忘了 REVOKE SHOW DATABASES,或视图依赖的表权限残留,或用户被赋予了角色间接带出高权限。
配套硬约束一个都不能少:IP、密码有效期、连接数
视图和权限控制解决“能看什么”,但挡不住暴力扫库、长期空闲连接、或从非法 IP 发起的请求。这些必须在账号创建时一并固化。
- 限定 IP 段比
'%'安全得多:CREATE USER 'outsourcer'@'203.124.55.0/255.255.255.0' IDENTIFIED BY 'p'; - 强制密码定期轮换:
ALTER USER 'outsourcer'@'203.124.55.0/255.255.255.0' PASSWORD EXPIRE INTERVAL 30 DAY; - 防连接耗尽:
ALTER USER 'outsourcer'@'203.124.55.0/255.255.255.0' WITH MAX_CONNECTIONS_PER_HOUR 60;
最易被忽略的是:视图权限不会自动继承新表。如果后续在 project_x 库新增表并想纳入视图,必须手动重建视图或重新授权——没有“自动同步”这回事。