【实验】使用PRODUCT_USER_PROFILE禁止特定用户在SQL*Plus中使用delete语句

最新推荐文章于 2022-03-15 07:00:00 发布
最新推荐文章于 2022-03-15 07:00:00 发布
阅读量146 收藏
点赞数
文章标签: 数据库
【实验优先】
1.在sys用户下执行脚本pupbld.sql使PRODUCT_USER_PROFILE可用
pupbld.sql脚本所在目录为$ORACLE_HOME/sqlplus/admin/pupbld.sql

sys@ora10g> conn / as sysdba
Connected.
sys@ora10g> @?/sqlplus/admin/pupbld.sql

2.向product_user_profile中出入如下限制信息
sys@ora10g> insert into product_user_profile(PRODUCT,USERID,ATTRIBUTE,CHAR_VALUE) values ('SQL*Plus','SEC','DELETE','DISABLED');

1 row created.

sys@ora10g> commit;

Commit complete.

sys@ora10g> col PRODUCT    for a10
sys@ora10g> col USERID     for a10
sys@ora10g> col ATTRIBUTE  for a10
sys@ora10g> col CHAR_VALUE for a10
sys@ora10g> select PRODUCT,USERID,ATTRIBUTE,CHAR_VALUE from product_user_profile;

PRODUCT    USERID     ATTRIBUTE  CHAR_VALUE
---------- ---------- ---------- ----------
SQL*Plus   SEC        DELETE     DISABLED

3.验证效果
sys@ora10g> conn sec/sec
Connected.

sec@ora10g> select * from t;

         A
----------
         1
         1
         1
         1
         1

sec@ora10g> delete from t;
SP2-0544: Command "delete" disabled in Product User Profile

这种限制方法已经生效,从此,sec用户将不可以再执行删除delete操作。
OK,这个小实验到此先告一段落。

------------------------------------------------------------


【知识扩展ing】
1.先看一下pupbld.sql脚本都写了什么
ora10g@testdb /home/oracle$ cat $ORACLE_HOME/sqlplus/admin/pupbld.sql
--
-- Copyright (c) Oracle Corporation 1988, 2003.  All Rights Reserved.
--
-- NAME
--   pupbld.sql
--
-- DESCRIPTION
--   Script. to install the SQL*Plus PRODUCT_USER_PROFILE tables.  These
--   tables allow SQL*Plus to disable commands per user.  The tables
--   are used only by SQL*Plus and do not affect other client tools
--   that access the database.  Refer to the SQL*Plus manual for table
--   usage information.
--
--   This script. should be run on every database that SQL*Plus connects
--   to, even if the tables are not used to restrict commands.

-- USAGE
--   sqlplus system/ @pupbld
--
--   Connect as SYSTEM before running this script


-- If PRODUCT_USER_PROFILE exists, use its values and drop it

DROP SYNONYM PRODUCT_USER_PROFILE;

CREATE TABLE SQLPLUS_PRODUCT_PROFILE AS
  SELECT PRODUCT, USERID, ATTRIBUTE, SCOPE, NUMERIC_VALUE, CHAR_VALUE,
  DATE_VALUE FROM PRODUCT_USER_PROFILE;

DROP TABLE PRODUCT_USER_PROFILE;
ALTER TABLE SQLPLUS_PRODUCT_PROFILE ADD (LONG_VALUE LONG);

-- Create SQLPLUS_PRODUCT_PROFILE from scratch

CREATE TABLE SQLPLUS_PRODUCT_PROFILE
(
  PRODUCT        VARCHAR2 (30) NOT NULL,
  USERID         VARCHAR2 (30),
  ATTRIBUTE      VARCHAR2 (240),
  SCOPE          VARCHAR2 (240),
  NUMERIC_VALUE  DECIMAL (15,2),
  CHAR_VALUE     VARCHAR2 (240),
  DATE_VALUE     DATE,
  LONG_VALUE     LONG
);

-- Remove SQL*Plus V3 name for sqlplus_product_profile

DROP TABLE PRODUCT_PROFILE;

-- Create the view PRODUCT_PRIVS and grant access to that

DROP VIEW PRODUCT_PRIVS;
CREATE VIEW PRODUCT_PRIVS AS
  SELECT PRODUCT, USERID, ATTRIBUTE, SCOPE,
         NUMERIC_VALUE, CHAR_VALUE, DATE_VALUE, LONG_VALUE
  FROM SQLPLUS_PRODUCT_PROFILE
  WHERE USERID = 'PUBLIC' OR USER LIKE USERID;

GRANT SELECT ON PRODUCT_PRIVS TO PUBLIC;
DROP PUBLIC SYNONYM PRODUCT_PROFILE;
CREATE PUBLIC SYNONYM PRODUCT_PROFILE FOR SYSTEM.PRODUCT_PRIVS;
DROP SYNONYM PRODUCT_USER_PROFILE;
CREATE SYNONYM PRODUCT_USER_PROFILE FOR SYSTEM.SQLPLUS_PRODUCT_PROFILE;
DROP PUBLIC SYNONYM PRODUCT_USER_PROFILE;
CREATE PUBLIC SYNONYM PRODUCT_USER_PROFILE FOR SYSTEM.PRODUCT_PRIVS;

-- End of pupbld.sql

看到了么?PRODUCT_USER_PROFILE原来是SYSTEM.SQLPLUS_PRODUCT_PROFILE的一个同名,所以可以直接操作system用户下的SQLPLUS_PRODUCT_PROFILE表,如下操作:
sys@ora10g> insert into product_user_profile(PRODUCT,USERID,ATTRIBUTE,CHAR_VALUE) values ('SQL*Plus','SEC','DELETE','DISABLED');
变成如下的形式效果是相同的
sys@ora10g> insert into SYSTEM.SQLPLUS_PRODUCT_PROFILE(PRODUCT,USERID,ATTRIBUTE,CHAR_VALUE) values ('SQL*Plus','SEC','DELETE','DISABLED');

2.参考一下这个文章
《安全保护项目》中的“2.4 使用产品配置文件保护 SQL*Plus”中描述了另外一个例子
http://www.oracle.com/technology/global/cn/pub/articles/project_lockdown/phase2.html#2.4

简单摘录两条SQL语句
SQL> insert into system.SQLPLUS_PRODUCT_PROFILE
  2  values ('SQL*Plus','%','HOST',null,null,'DISABLED',null,null)
  3  /

insert into system.SQLPLUS_PRODUCT_PROFILE
values ('SQL*Plus','%','LOCK',null,null,'DISABLED',null,null)
/

3.该方法支持的其他限制内容如下
可以被禁用的 SQL 命令如下:
alter            drop          revoke
analyze          explain       rollback
associate        flashback     savepoint
audit            grant         select
call             insert        set constraints
comment          lock          set role
commit           merge         set transaction
create           noaudit       truncate
delete           purge         update
disassociate     rename        validate

可以被禁用的 SQL*Plus 专有命令(及其缩写或简写形式)如下:
accept          edit          repheader
append          execute       run
archive log     exit          save
attribute       quit          set
break           get           show
btitle          help          shutdown
change          host          spool
clear           input         start
column          list          startup
compute         password      store
connect         pause         timing
copy            print         ttitle
define          prompt        undefine
del             recover       variable
describe        remark        whenever oserror
disconnect      repfooter     whenever sqlerror

4.最后,为加深记忆,对product_user_profile每一个字段的含义做一下介绍
sys@ora10g> desc product_user_profile
 Name             Null?    Type
 ---------------- -------- ------------------
 PRODUCT          NOT NULL VARCHAR2(30)
 USERID                    VARCHAR2(30)
 ATTRIBUTE                 VARCHAR2(240)
 SCOPE                     VARCHAR2(240)
 NUMERIC_VALUE             NUMBER(15,2)
 CHAR_VALUE                VARCHAR2(240)
 DATE_VALUE                DATE
 LONG_VALUE                LONG

PRODUCT       ------ 产品名称,如“SQL*Plus”
USERID        ------ 被禁止的用户名
ATTRIBUTE     ------ 被禁止的命令,如上面列出的,如“delete”等
SCOPE         ------ null
NUMERIC_VALUE ------ null
CHAR_VALUE    ------ 禁用时值应为“DISABLED”
DATE_VALUE    ------ null
LONG_VALUE    ------ null

-- The End --

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/519536/viewspace-609906/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/519536/viewspace-609906/

cuanchuwei1207
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用product_user_profile来实现用户权限的设定
Kamus' Oracle World
06-13 5035
使用product_user_profile来实现用户权限的设定Author:KamusMail:kamus@itpub.netDate:2004-1我们有时候在以普通用户登录SQL*Plus的时候,会碰到下面的错误提示:Error accessing PRODUCT_USER_PROFILEWarning: Product user profile information not loa
PL/SQL 连接oracle数据库老报ora-12541:TNS:无监听程序
okkeqin的专栏
04-25 2237
今天用PL/SQL连接某数据库老报ora-12541:TNS:无监听程序 错。 解决办法: Refer to the SQL*Plus User's Guide and Reference for more information. [oracle@vserever75 ~]$ sqlplus /nolog SQL*Plus: Release 10.2.0.4.0 - Product
您需要将pupbld.sql作为system运行
雅冰石的专栏
11-19 362
一 问题描述 使用普通用户sqlplus方式登录数据库的时候报错: 使用普通用户用navicat图形工具这种方式登录数据库,双击表查询数据的时候,也报错: ORA-00942:表或试图不存在 二 出错原因 当时运行数据字典@?/sqlplus/admin/pupbld.sql时是以这种方式登录的: sqlplus / as sysdba 因此,相当于是sys用户执行的该sql 三 解决办法 用system用户再次执行该sql。 conn system/密码 @?/sqlplus.
[20150629]简单的加密连接.txt
weixin_33827965的博客
06-29 85
[20150629]简单的加密连接.txt --我曾经写过一个脚本跟踪用户执行的sql语句:(原始的出处忘记了) #! /bin/bash /usr/sbin/tcpdump -l -i eth0 -s 16384 -A -nn src host $1 and dst port 1521 2>/dev/...
Oraclesqlplus命令限制(使用自带脚本pupbld.sql
cyxlxp8411的专栏
06-19 2487
有时出于安全考虑需要禁止一些业务系统的数据库用户执行sqlplus命令,方法很简单:在运行命令之前,将这些命令限制到一个由 SQL*Plus 引用的“特殊位置”。 此特殊位置是SYSTEM 模式一个名为PRODUCT_USER_PROFILE 的表。 如果该表不存在,则您在每次启动 SQL*Plus 时将获得一个类似“Product User Profile Not Loaded”这样的警告。
oracle 出现pupbld.sql,忽视细节导致简单问题的复杂化 关于PUPBLD.SQL
weixin_42505477的博客
04-16 211
简单问题的出现:使用SCOTT用户登陆时出现问题:SQL> conn scott/tiger访问PRODUCT_USER_PROFILE时出错警告:未加载产品用户概要文件信息!您需要将PUPBLD.SQL作为SYSTEM运行已连接。想法很简单,因为是刚手工创建的库,使用system跑一遍PUPBLD.SQL脚本就好。SQL> conn system/oracle as sysdba已连...
python 在sql语句使用%s,%d,%f说明
09-16
在Python编程,当涉及到与SQL数据库交互时,我们经常需要构建动态的SQL查询语句。这通常涉及到在SQL字符串插入变量值。在Python,有几种不同的方法可以实现这一点,其包括使用`%s`, `%d`, 和 `%f`等占位符。...
irun User Guide_cadence_irun的用户手册_ProductVersion12.1_irunUserGui
09-11
6irun User Guide
SQL使用ESCAPE定义转义符详解
09-10
然而,在某些情况下,我们可能需要在搜索模式使用这些特殊字符本身而非其通配符含义。这时,`ESCAPE`关键字就派上了用场。 `ESCAPE`关键字允许我们在`LIKE`语句定义一个转义字符,使得这个字符后面跟着的特殊...
rb_product_backlog_template.rar_Excel VBA_SPRINT_burndown_user s
09-21
敏捷管理excel模板,故事板 user story,冲刺 sprint,产品backlog,燃尽图 burndown chart
SQLServer 2008SQL增强之三 Merge(在一条语句使用Insert,Update,Delete)
09-11
SQLServer 2008SQL增强之三 Merge(在一条语句使用Insert,Update,DeleteSQL Server 2008提供了一个增强的SQL命令Merge,用法参看MSDN:http://msdn.microsoft.com/zh-cn/library/bb510625.aspx。Merge命令...
打开SQL*Plus的两种方法
qq_51133701的博客
03-15 4512
方法一 (1)Win+R (2)输入 sqlplus (3)点击“确定” 方法二 以管理员身份打开cmd (1)搜索 cmd (2)点击“以管理员身份运行” (3)输入 sqlplus
oracle的user profile,Oracle PUP(PRODUCT_USER_PROFILE)配置和使用
weixin_32390279的博客
04-08 156
最近在翻Oracle SQLPLUS官方文档,在讲SQLPLUS Security章节介绍了PUP这个机制。借此,我来使用以下:PUP(PRODUCT_USER_PROFILE)介绍PRODUCT_USER_PROFILE是SYSTEM账户下一个表,可提供用户级别的安全限制。PUP设置对DBA权限用户无效。PUP只针对本地数据库生效(Local Database)。1、SYSTEM 用户创建PUP...
Oracle PUP(PRODUCT_USER_PROFILE)配置和使用
老徐的博客只有干货
07-01 2837
最近在翻Oracle SQLPLUS官方文档,在讲SQLPLUS Security章节介绍了PUP这个机制。借此,我来使用以下: PUP(PRODUCT_USER_PROFILE)介绍   PRODUCT_USER_PROFILE是SYSTEM账户下一个表,可提供用户级别的安全限制。   PUP设置对DBA权限用户无效。   PUP只针对本地数据库生效(Local Database
sqlplus常用命令使用
seawavecau的专栏
11-22 6933
show和set命令是两条用于维护SQL*Plus系统变量的命令     SQL> show all --查看所有68个系统变量值     SQL> show user --显示当前连接用户     SQL> show error                --显示错误     SQL> set heading off --禁止输出列标题,默认值为ON     SQL> set feedbac
oracle10g,又遭遇了04031错误
悠悠红叶
09-22 4413
ORA-00604: error occurred at recursive SQL level 5ORA-04031: unable to allocate 4096 bytes of shared memory ("shared pool","select /*+ rule */ bucket, e...","Typecheck heap","kgghteInit")让我们来看看metal
ORACLE SQL*Plus® User's Guide and Reference
一一亿的专栏
05-19 646
SQL*Plus® User's Guide and Reference http://docs.oracle.com/cd/B19306_01/server.102/b14357/ch12014.htm
Product_user_profile
DK的专栏
03-30 1141
Product_user_profile是system模式下的一个表,在此表存在的数据可以让客户端程序登入的时候检查是否在命令的执行上有什么限制。 修改了product_user_profile内容,用户必须重新登录sql*plus,修改才会生效,也就是只有在登录的时候,sql*plus才会检查一遍product_user_profile内容。 SQL*Plus:   CO
SQL Profiles-PartIII -- profile的控制
事后诸葛亮的程序人生(微信:zq9017197)
11-27 1687
第二部分:profile的控制   对profile的控制比较简单:修改和删除。包DBMS_SQLTUNE提供了两个存储过程来完成这两个操作:ALTER_SQL_PROFILE和DROP_SQL_PROFILE。   BEGIN   DBMS_SQLTUNE.DROP_SQL_PROFILE(name => 'my_sql_profile'); END; / 1.Profile的修
在Oracle数据库,可以使用SQL*Plus命令行工具来执行SQL语句并将结果输出到文件。可以编写一个shell脚本来调用SQL*Plus命令行工具,并将结果输出到.dat文件。 请给出一个示例脚本
最新发布
06-08
当然可以,请看下面的示例脚本,它可以执行SQL语句并将结果输出到.dat文件: ``` #!/bin/bash # 设置Oracle环境变量 export ORACLE_HOME=/u01/app/oracle/product/11.2.0/dbhome_1 export PATH=$ORACLE_HOME/bin:$PATH # 连接Oracle数据库 sqlplus -s username/password@database << EOF SET HEADING OFF SET LINESIZE 1000 SET PAGESIZE 0 SET FEEDBACK OFF SET TRIMSPOOL ON -- 执行SQL语句 SELECT * FROM tablename; -- 退出SQL*Plus QUIT EOF > output.dat ``` 在脚本,我们首先设置了Oracle环境变量,然后使用sqlplus命令连接到Oracle数据库,并在脚本嵌入了SQL语句。最后,我们使用EOF来结束SQL语句块,并将结果输出到output.dat文件。请注意,我们在脚本使用了一些SQL*Plus命令(如SET HEADING OFF)来控制输出格式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值