Chinaunix首页 | 论坛 | 博客
  • 博客访问: 90343960
  • 博文数量: 19283
  • 博客积分: 9968
  • 博客等级: 上将
  • 技术积分: 196062
  • 用 户 组: 普通用户
  • 注册时间: 2007-02-07 14:28
文章分类

全部博文(19283)

文章存档

2011年(1)

2009年(125)

2008年(19094)

2007年(63)

分类: Oracle

2008-04-03 22:37:18

作者:builder.com.cn 来源:

Oracle的虚拟私有数据库特性(也称作细颗粒度存取控制)对诸如SELECT等数据管理语言DML语句提供行级安全性检查。PL/SQL策略函数和某个数据表相关联,这个函数可以检查当前用户的上下文背景并添加查询中WHERE语句的条件(断言),一个用户或者应用可以这样来写:

SELECT * FROM employees;

但是实际上oracle将会执行这样的语句:

SELECT * FROM employees

WHERE department_id = 60;

因此,只有在查寻范围之内的行(在department数据表中的前60行)才会被查询语句返回。利用oracle 10g中的新选项可以让oracle返回所有行,而不仅仅是被授权的行。然而,未被授权行中包含的某些列(称为安全相关列)将显示NULL来代替实际数据,而其它的列值将会正常显示。

要想使用列值掩码必须在虚拟私有数据库策略中做两件事。

首先必须创建一个列级策略来设计某些列为安全相关列.其次必须在查询中包含ALL_ROWS选项以用来返回所有行。这两个参数的结合就可以实现列值掩码。

显示了一个称为rls_dept的策略函数。它返回断言“department_id=60”,用来设定对于EMPLOYEES表中60行之内的department字段。(实际上,这个函数并不返回一个静态表,它可以确定当前用户是谁,并据此返回给该用户正确的部门值。)

显示了如何应用列表A中的函数创建列值掩码。在DBMS_RLS包中的过程ADD_POLICY创建一个称为restrict_dept_policy的新策略。参数sec_relevant_cols表明字段salary和commission_pct是安全相关列。一个包含上述两个字段的查询将会应用到该策略函数,不包含的查询就不会应用该策略。最后,参数sec_relevant_cols_opts设定为常量ALL_ROWS。

列值掩码应用于SELECT语句,无论哪个客户访问数据库都可以实施列值掩码,诸如SQL *Plus、.NET应用或者其它工具。

CREATE OR REPLACE PACKAGE hr_context_pkg 
IS
   PROCEDURE initialize_hr_context;
END;
/

CREATE OR REPLACE PACKAGE BODY hr_context_pkg
IS
   PROCEDURE initialize_hr_context
   IS
      v_dept NUMBER;
   BEGIN
      BEGIN
         SELECT department_id
         INTO v_dept
         FROM employees
         WHERE login_name = SYS_CONTEXT('USERENV',
                                 'SESSION_USER');
      EXCEPTION
         WHEN OTHERS THEN
            v_dept := NULL;
      END;
    DBMS_SESSION.SET_CONTEXT('hr_context', 'dept', v_dept);
   END;
END;
/
阅读(293) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~