mysql触发器无法真正拦截delete/update语句,仅能通过signal抛错中断,但易被忽略;可靠方案是代理层过滤(如proxysql)或权限隔离(如仅开放安全存储过程调用)。
触发器无法拦截 DELETE 或 UPDATE 语句
MySQL 触发器(BEFORE DELETE、BEFORE UPDATE)确实能执行逻辑,但**不能中止已发起的语句**——它没有类似 PostgreSQL 的 RAISE EXCEPTION 机制。你写 SIGNAL SQLSTATE '45000' SET MESSAGE_TEXT = '禁止直接操作' 是可行的,但仅限 MySQL 5.5+ 且需确保客户端能正确接收错误;更常见的情况是:触发器默默报错后事务回滚,但用户只看到“0 rows affected”,误以为成功。
- 触发器里的
SIGNAL会中断当前语句,但前提是没被上层忽略(比如某些 ORM 或 shell 脚本不检查返回码) -
INSERT触发器可改写数据(如强制设status = 'pending'),但DELETE/UPDATE无法“把行变回来” - 对 MyISAM 表,触发器甚至不支持
SIGNAL,直接报语法错误
真正可用的二次确认:靠代理层或权限隔离
想拦住高危 SQL,得在语句到达表之前卡住。MySQL 自身没“SQL 审计钩子”,但有两条现实路径:
- 用
mysql-proxy或ProxySQL在中间层解析 SQL:匹配DELETE FROM users WHERE 1这类模式,返回自定义错误 - 收回开发/运维账号的直接
DELETE/UPDATE权限,只开放存储过程调用权,例如CALL safe_delete_user(123),过程里先写日志、再人工审批、最后执行 - 关键表设为
READ ONLY(SET GLOBAL read_only = ON),只允许通过特定账号(如admin@localhost)临时关闭
safe_delete 存储过程怎么写才不翻车
别只做“加个日志就放行”。真实业务里容易漏三点:
- 必须用
SQL SECURITY DEFINER,否则调用者权限不足时连日志表都写不进 - WHERE 条件必须显式校验,禁止传入空字符串或
%导致全表删:检查INSTR(@where_clause, 'WHERE') > 0不够,要解析 AST 级别——实际推荐只接受主键 ID 列表 - 日志表本身得用
ARCHIVE引擎或定期归档,否则DELETE频繁时日志表成性能瓶颈
示例骨架:
CREATE PROCEDURE safe_delete_user(IN p_id BIGINT)
SQL SECURITY DEFINER
BEGIN
INSERT INTO audit_log (op, table_name, pk_value, op_time)
VALUES ('DELETE', 'users', p_id, NOW());
DELETE FROM users WHERE id = p_id AND status != 'locked';
END
为什么不用 EVENT 或 binlog 做事后拦截
事后发现再补救等于已经出事。比如 binlog 解析脚本检测到大范围 UPDATE 后发告警,但数据早改了;EVENT 定时查 information_schema.PROCESSLIST 更不可靠——连接可能已断。
-
binlog只能用于恢复,不能阻止写入 - 开启
general_log查 SQL?IO 压力大,且日志格式难解析(尤其带参数的预处理语句) - Percona Toolkit 的
pt-query-digest是分析工具,不是拦截开关
真要兜底,唯一靠谱的是备份策略:每天全备 + binlog 实时归档,确保 5 分钟内可回滚。其他都是障眼法。
