MySQL编程进阶之：触发器的日志记录：如何利用触发器实现数据的变更审计。

各位观众老爷，大家好！我是老码，今天给大家带来一场关于MySQL触发器在数据变更审计方面的“骚操作”讲座。 别担心，咱们不搞那些高深莫测的理论，就用大白话，聊聊怎么用触发器把数据库里的“小秘密”记录下来，让那些偷偷摸摸修改数据的人无所遁形！

开场白：为啥要审计？

想象一下，你的数据库里存着公司的核心数据，突然有一天，你发现某个重要字段的值被人改了，但你不知道是谁改的，也不知道什么时候改的，更不知道改成了什么。是不是很抓狂？

这就是数据变更审计的重要性！它可以帮你：

• 追踪责任人： 谁修改了数据，一查便知，再也不用背锅了。
• 还原历史数据： 不小心改错了？没关系，从审计日志里找到修改前的数据，一键还原。
• 发现异常行为： 监控数据的异常变动，及时发现潜在的安全风险。
• 满足合规要求： 某些行业有严格的数据审计要求，有了它，轻松达标。

主角登场：触发器！

触发器（Trigger）就像数据库的“保安”，它会在特定的事件发生时自动执行一些代码。这些事件可以是：

• BEFORE INSERT：在插入数据之前
• AFTER INSERT：在插入数据之后
• BEFORE UPDATE：在更新数据之前
• AFTER UPDATE：在更新数据之后
• BEFORE DELETE：在删除数据之前
• AFTER DELETE：在删除数据之后

我们可以利用这些触发器，在数据发生变更时，把变更的信息记录到一张专门的日志表里。

实战演练：创建一个日志表

首先，我们需要一张日志表来存放审计信息。这张表应该包含以下字段：

字段名	数据类型	描述
log_id	INT	日志ID，自增主键
table_name	VARCHAR(255)	被修改的表名
operation_type	VARCHAR(20)	操作类型（INSERT、UPDATE、DELETE）
record_id	INT	被修改记录的ID（假设表有一个ID主键）
column_name	VARCHAR(255)	被修改的列名
old_value	TEXT	修改前的值
new_value	TEXT	修改后的值
changed_by	VARCHAR(255)	修改人（可以通过MySQL函数获取当前用户）
changed_at	TIMESTAMP	修改时间，自动记录当前时间

下面是创建这张表的SQL语句：

CREATE TABLE audit_log (
    log_id INT AUTO_INCREMENT PRIMARY KEY,
    table_name VARCHAR(255) NOT NULL,
    operation_type VARCHAR(20) NOT NULL,
    record_id INT NOT NULL,
    column_name VARCHAR(255) NOT NULL,
    old_value TEXT NULL,
    new_value TEXT NULL,
    changed_by VARCHAR(255) NOT NULL,
    changed_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

敲黑板！重点来了：创建触发器

接下来，我们以一个名为products的表为例，创建一个触发器来记录它的更新操作。假设products表有以下字段：

字段名	数据类型	描述
id	INT	主键
name	VARCHAR(255)	产品名称
price	DECIMAL(10,2)	产品价格
description	TEXT	产品描述

我们想要记录name、price和description这三个字段的修改情况。

CREATE TRIGGER products_audit_update
AFTER UPDATE ON products
FOR EACH ROW
BEGIN
    -- 记录name字段的修改
    IF OLD.name <> NEW.name THEN
        INSERT INTO audit_log (table_name, operation_type, record_id, column_name, old_value, new_value, changed_by)
        VALUES ('products', 'UPDATE', OLD.id, 'name', OLD.name, NEW.name, USER());
    END IF;

    -- 记录price字段的修改
    IF OLD.price <> NEW.price THEN
        INSERT INTO audit_log (table_name, operation_type, record_id, column_name, old_value, new_value, changed_by)
        VALUES ('products', 'UPDATE', OLD.id, 'price', OLD.price, NEW.price, USER());
    END IF;

    -- 记录description字段的修改
    IF OLD.description <> NEW.description THEN
        INSERT INTO audit_log (table_name, operation_type, record_id, column_name, old_value, new_value, changed_by)
        VALUES ('products', 'UPDATE', OLD.id, 'description', OLD.description, NEW.description, USER());
    END IF;
END;

这段代码的意思是：

1. CREATE TRIGGER products_audit_update: 创建一个名为products_audit_update的触发器。
2. AFTER UPDATE ON products: 这个触发器在products表更新之后触发。
3. FOR EACH ROW: 对每一行被更新的记录都执行触发器里的代码。
4. BEGIN ... END: 触发器里要执行的代码块。
5. IF OLD.name <> NEW.name THEN ... END IF;: 判断name字段的值是否发生了变化。OLD.name表示修改前的值，NEW.name表示修改后的值。
6. INSERT INTO audit_log ...: 如果name字段的值发生了变化，就往audit_log表里插入一条记录，记录了表名、操作类型、记录ID、列名、修改前的值、修改后的值和修改人。
7. USER(): MySQL函数，返回当前用户的用户名。

举一反三：INSERT和DELETE触发器

有了更新触发器的经验，创建插入和删除触发器就轻车熟路了。

INSERT触发器：

CREATE TRIGGER products_audit_insert
AFTER INSERT ON products
FOR EACH ROW
BEGIN
    INSERT INTO audit_log (table_name, operation_type, record_id, column_name, new_value, changed_by)
    VALUES ('products', 'INSERT', NEW.id, 'name', NEW.name, USER());

    INSERT INTO audit_log (table_name, operation_type, record_id, column_name, new_value, changed_by)
    VALUES ('products', 'INSERT', NEW.id, 'price', NEW.price, USER());

    INSERT INTO audit_log (table_name, operation_type, record_id, column_name, new_value, changed_by)
    VALUES ('products', 'INSERT', NEW.id, 'description', NEW.description, USER());
END;

DELETE触发器：

CREATE TRIGGER products_audit_delete
AFTER DELETE ON products
FOR EACH ROW
BEGIN
    INSERT INTO audit_log (table_name, operation_type, record_id, column_name, old_value, changed_by)
    VALUES ('products', 'DELETE', OLD.id, 'name', OLD.name, USER());

    INSERT INTO audit_log (table_name, operation_type, record_id, column_name, old_value, changed_by)
    VALUES ('products', 'DELETE', OLD.id, 'price', OLD.price, USER());

    INSERT INTO audit_log (table_name, operation_type, record_id, column_name, old_value, changed_by)
    VALUES ('products', 'DELETE', OLD.id, 'description', OLD.description, USER());
END;

注意：INSERT触发器只能访问NEW，不能访问OLD，因为插入操作没有“旧值”。DELETE触发器只能访问OLD，不能访问NEW，因为删除操作没有“新值”。

进阶技巧：使用JSON存储修改前后的值

如果你的表有很多字段，每个字段都写一个IF判断，代码会变得非常冗长。这时候，可以使用JSON来存储修改前后的值，简化代码。

首先，修改audit_log表的old_value和new_value字段的数据类型为JSON：

ALTER TABLE audit_log MODIFY COLUMN old_value JSON;
ALTER TABLE audit_log MODIFY COLUMN new_value JSON;

然后，修改触发器：

CREATE TRIGGER products_audit_update_json
AFTER UPDATE ON products
FOR EACH ROW
BEGIN
    -- 构建修改前后的JSON对象
    DECLARE old_data JSON;
    DECLARE new_data JSON;

    SET old_data = JSON_OBJECT('name', OLD.name, 'price', OLD.price, 'description', OLD.description);
    SET new_data = JSON_OBJECT('name', NEW.name, 'price', NEW.price, 'description', NEW.description);

    -- 记录修改
    INSERT INTO audit_log (table_name, operation_type, record_id, column_name, old_value, new_value, changed_by)
    VALUES ('products', 'UPDATE', OLD.id, 'all_fields', old_data, new_data, USER());
END;

这样，所有的字段修改都会被记录到一条日志里，old_value和new_value分别存储了修改前后的所有字段的值。

更进一步：只记录修改的字段

上面的JSON方案虽然简化了代码，但是会记录所有字段的值，即使有些字段没有被修改。如果想要只记录修改的字段，可以这样做：

CREATE TRIGGER products_audit_update_diff
AFTER UPDATE ON products
FOR EACH ROW
BEGIN
    -- 构建修改前后的JSON对象
    DECLARE old_data JSON;
    DECLARE new_data JSON;
    DECLARE diff_data JSON;

    SET old_data = JSON_OBJECT('name', OLD.name, 'price', OLD.price, 'description', OLD.description);
    SET new_data = JSON_OBJECT('name', NEW.name, 'price', NEW.price, 'description', NEW.description);
    SET diff_data = JSON_OBJECT();

    -- 找出不同的字段
    IF OLD.name <> NEW.name THEN
        SET diff_data = JSON_SET(diff_data, '$.name', JSON_OBJECT('old', OLD.name, 'new', NEW.name));
    END IF;
    IF OLD.price <> NEW.price THEN
        SET diff_data = JSON_SET(diff_data, '$.price', JSON_OBJECT('old', OLD.price, 'new', NEW.price));
    END IF;
    IF OLD.description <> NEW.description THEN
        SET diff_data = JSON_SET(diff_data, '$.description', JSON_OBJECT('old', OLD.description, 'new', NEW.description));
    END IF;

    -- 只有当有不同的字段时才记录
    IF JSON_LENGTH(diff_data) > 0 THEN
        INSERT INTO audit_log (table_name, operation_type, record_id, column_name, old_value, new_value, changed_by)
        VALUES ('products', 'UPDATE', OLD.id, 'modified_fields', old_data, new_data, USER());
    END IF;
END;

这段代码会创建一个名为diff_data的JSON对象，只存储修改的字段及其修改前后的值。只有当diff_data不为空时，才会往audit_log表里插入记录。

最佳实践：一些建议

• 谨慎选择需要审计的表和字段： 不是所有的数据都需要审计，只选择那些重要的、敏感的数据进行审计，避免产生大量的日志数据。
• 定期清理审计日志： 审计日志会占用大量的存储空间，定期清理过期的日志，可以释放存储空间，提高查询效率。
• 使用专业的审计工具： 如果你的业务对数据审计有更高的要求，可以考虑使用专业的数据库审计工具，这些工具通常提供更强大的功能，例如实时监控、报表生成、安全告警等。
• 考虑性能影响： 触发器会在数据变更时自动执行，会增加数据库的负担。需要评估触发器的性能影响，避免对正常的业务操作产生影响。可以采取一些优化措施，例如减少触发器里的代码量，使用异步方式记录日志等。
• 记录足够的信息： 审计日志应该包含足够的信息，例如操作类型、操作时间、操作人、修改前的值、修改后的值等，方便后续的分析和追溯。
• 保证审计日志的安全性： 审计日志是重要的安全资产，应该采取措施保护审计日志的安全性，例如限制访问权限、加密存储等。

总结：让数据变更无处遁形

通过今天的讲座，相信大家已经掌握了使用MySQL触发器进行数据变更审计的基本方法。记住，数据安全无小事，有了触发器这个“保安”，你的数据库才能更加安全可靠！

希望这次的讲座对大家有所帮助。下次再见，各位！