oracle实验记录 (精细策略dbms_rls)

最新推荐文章于 2023-10-20 08:13:02 发布
最新推荐文章于 2023-10-20 08:13:02 发布
阅读量320 收藏
点赞数
文章标签: 数据库 网络

实验开始
SQL> select * from test;

        ID NAME
---------- ----------
         1 xh
         2 hr
         3 cc
         4 dd


SQL> conn zz/a850624
Connected.
SQL> conn yy/a666666
Connected.
SQL> select * from xh.test;

        ID NAME
---------- ----------
         1 xh
         2 hr
         3 cc
         4 dd

SQL> conn zz/a850624
Connected.
SQL> select * from xh.test;

        ID NAME
---------- ----------
         1 xh
         2 hr
         3 cc
         4 dd
要求:YY只可以访问  xh.test ID=1的信息  user zz 只可访问 xh.test id=2,3的信息,当USER 为ZZ时候可以更新ID=3的 信息
其他USER  不能更新任何, (sysdba可以 )

介绍下应用环境:
应用环境 就是一组属性
default 应用环境为 userenv

SQL> select sys_context('userenv','session_user') from dual;

SYS_CONTEXT('USERENV','SESSION_USER')
--------------------------------------------------------------------------------

SYS~~~~~~~~~~~~~~~~简单的查看了下当前应用环境中user
还可以查看db_domail,db_name,os_user,language,host,网络协议等

要精细访问就得自定义环境,自定义环境 要create any context权限
SQL> create or replace context actest using XH.test_pkg;

Context created.
环境名actest,它的所有属性都是由 sys.test_pkg 包设置的


下面建立xh.test_pkg 来设置环境属性
SQL> create or replace package xh.test_pkg as
  2  procedure set_test;
  3  end;
  4  /

SQL> ed
Wrote file afiedt.buf


  1  create or replace package body xh.test_pkg
  2  as
  3  procedure set_test is
  4  begin
  5  if sys_context('userenv','session_user')='YY' then
  6  dbms_session.set_context('actest','yy_attr',1);
  7  elsif sys_context('userenv','session_user')='ZZ' then
  8  dbms_session.set_context('actest','zz_attr1',2);
  9  dbms_session.set_context('actest','zz_attr2',3);
 10  end if;
 11  end;
 12* end;
SQL> /

Package body created.

 定义应用环境属性 dbms_session.set_context('环境名字'属性名,属性值)


接着要创建一个安全策略函数

SQL> conn / as sysdba
Connected.
SQL> create or replace package xh.test_p as
  2  function p_select(object_schema varchar2,object_name varchar2) return varch
ar2;
  3  function p_update(object_schema varchar2,object_name varchar2) return varch
ar2;
  4  end;
  5  /

Package created.

SQL> create or replace package body xh.test_p as
  2  function p_select(object_schema varchar2,object_name varchar2) return varch
ar2   is
  3  rtn_predicate varchar2(500);
  4  begin
  5  rtn_predicate :='1=1';~~~~~~~~~~~~~~~~~总真
  6  if user='YY' then
  7  rtn_predicate := 'id =sys_context("actest","yy_attr")';
  8  elsif user='ZZ' then
  9  rtn_predicate := 'id=sys_context("actest","zz_attr1")'||'or'||'id=sys_conte
xt("actest","zz_attr2")';
 10  end if;
 11  return rtn_predicate;
 12  end;
 13  function p_update(object_schema varchar2,object_name varchar2) return varch
ar2 is
 14  rtn_predicate varchar2(500);
 15  begin
 16  rtn_predicate:='1=2';~~~~~~~~~~~~~~~~~~~~~总false 这就表示 其他USER 不允许,返回false
 17  if user='ZZ' then
 18  rtn_predicate :='id=sys_context("actest","zz_attr2")';
 19  end if;
 20  return rtn_predicate;
 21  end;
 22  end;
 23  /

Package body created.                             rtn_predicate:PKG中函数 返回附加到SQL 语句where 后字符串

SQL> select * from xh.test where 1=1
  2  ;

        ID NAME
---------- ----------
         1 xh
         2 hr
         3 cc
         4 dd

SQL> select * from xh.test where 1=2;

no rows selected
~~~~~~~~~~~~~~~*************************************************


SQL> desc dbms_rls~~~~~~~~~~~~~~~~~~~~~~~~~~~用RLS

PROCEDURE ADD_POLICY
 Argument Name                  Type                    In/Out Default?
 ------------------------------ ----------------------- ------ --------
 OBJECT_SCHEMA                  VARCHAR2                IN     DEFAULT
 OBJECT_NAME                    VARCHAR2                IN
 POLICY_NAME                    VARCHAR2                IN
 FUNCTION_SCHEMA                VARCHAR2                IN     DEFAULT
 POLICY_FUNCTION                VARCHAR2                IN
 STATEMENT_TYPES                VARCHAR2                IN     DEFAULT
 UPDATE_CHECK                   BOOLEAN                 IN     DEFAULT
 ENABLE                         BOOLEAN                 IN     DEFAULT
 STATIC_POLICY                  BOOLEAN                 IN     DEFAULT
 POLICY_TYPE                    BINARY_INTEGER          IN     DEFAULT
 LONG_PREDICATE                 BOOLEAN                 IN     DEFAULT
 SEC_RELEVANT_COLS              VARCHAR2                IN     DEFAULT
 SEC_RELEVANT_COLS_OPT          BINARY_INTEGER          IN     DEFAULT


增加策略
SQL> exec dbms_rls.add_policy('xh','test','sel_policy','xh','test_p.p_select','s
elect');

PL/SQL procedure successfully completed.


SQL> exec dbms_rls.add_policy('xh','test','upd_policy','xh','test_p.p_update','i
nsert,update,delete');

PL/SQL procedure successfully completed.


PL/SQL procedure successfully completed.
创建一个 logon trigger

SQL> create or replace trigger logon_t
  2  after logon on database call xh.test_pkg.set_test
  3  /

Trigger created.

SQL> select * from xh.test;
select * from xh.test
                 *
ERROR at line 1:
ORA-28113: policy predicate has error


SQL> conn zz/a850624
Connected.
SQL> select * from xh.test;
select * from xh.test
                 *
ERROR at line 1:
ORA-28113: policy predicate has error~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~OH  雪特  看看trace user_dump_file

Error information for ORA-28113:
Logon user     : YY
Table/View     : XH.TEST
Policy name    : SEL_POLICY
Policy function: XH.TEST_P.P_SELECT
RLS predicate  :
id =sys_context("actest","yy_attr")
ORA-00904: "yy_attr": invalid identifier


Error information for ORA-28113:
Logon user     : ZZ
Table/View     : XH.TEST
Policy name    : SEL_POLICY
Policy function: XH.TEST_P.P_SELECT
RLS predicate  :
id=sys_context("actest","zz_attr1")orid=sys_context("actest","zz_attr2")
ORA-00907: missing right parenthesis~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~PLSQL不熟悉 " 不行,要用'' ~哎 ~还需要多看看 PLSQL的书籍太生

SQL> ed
Wrote file afiedt.buf

  1   create or replace package body xh.test_p as
  2   function p_select(object_schema varchar2,object_name varchar2) return varc
har2
  3   is
  4    rtn_predicate varchar2(500);
  5     begin
  6    rtn_predicate :='1=1';
  7    if user='YY' then
  8    rtn_predicate := 'id =sys_context(''actest'',''yy_attr'')';
  9    elsif user='ZZ' then
 10     rtn_predicate := 'id=sys_context(''actest'',''zz_attr1'')'||'or'||'id=sy
s_conte
 11  xt(''actest'',''zz_attr2'')';
 12   end if;
 13    return rtn_predicate;
 14     end;
 15    function p_update(object_schema varchar2,object_name varchar2) return var
char2 is
 16    rtn_predicate varchar2(500);
 17    begin
 18    rtn_predicate:='1=2';
 19   if user='ZZ' then
 20    rtn_predicate :='id=sys_context(''actest'',''zz_attr2'')';
 21    end if;
 22    return rtn_predicate;
 23    end;
 24*   end;
SQL> /

Package body created.

SQL> conn yy/a666666~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~测试OK
Connected.
SQL> select * from xh.test;

        ID NAME
---------- ----------
         1 xh

SQL> update xh.test set name='a';~~~~~~~~~~~~~~~~~~由于test_p.p_update这个 函数 其他USER 不能更新

0 rows updated.
conn / as sysdba
SQL> update xh.test set name='a';

4 rows updated.

SQL> roll back;
Rollback complete.
SQL> conn xh/a831115
Connected.
SQL> update test set name='a';

0 rows updated.~~~~~~~~~~~~~~~~~~由于test_p.p_update这个 函数 其他USER 不能更新


SQL> conn zz/a850624
Connected.
SQL> select * from xh.test;
select * from xh.test
                 *
ERROR at line 1:
ORA-28113: policy predicate has error

SQL> select * from xh.test;
select * from xh.test~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~需特 太雪特了
                 *
ERROR at line 1:
ORA-28113: policy predicate has error

Error information for ORA-28113:
Logon user     : ZZ
Table/View     : XH.TEST
Policy name    : SEL_POLICY
Policy function: XH.TEST_P.P_SELECT
RLS predicate  :
id=sys_context('actest','zz_attr1')orid=sys_conte~~~~~~~~~~~~~~~~~~~~~~~~~~~~~orid 低级错误
xt('actest','zz_attr2')
ORA-00907: missing right parenthesis

 1     create or replace package body xh.test_p as
 2      function p_select(object_schema varchar2,object_name varchar2) return
rchar2
 3        is
 4        rtn_predicate varchar2(500);
 5       begin
 6       rtn_predicate :='1=1';
 7      if user='YY' then
 8     rtn_predicate := 'id =sys_context(''actest'',''yy_attr'')';
 9     elsif user='ZZ' then
10      rtn_predicate := 'id=sys_context(''actest'',''zz_attr1'')'||' or '||'i~~~~~~~~~~~~~~~~~~~~~~~~~低级错误or没空格
sys_context(''actest'',''zz_attr2'')';
11       end if;
12        return rtn_predicate;
13       end;
14       function p_update(object_schema varchar2,object_name varchar2) return
archar2 is
15     rtn_predicate varchar2(500);
16        begin
17       rtn_predicate:='1=2';
18      if user='ZZ' then
19      rtn_predicate :='id=sys_context(''actest'',''zz_attr2'')';
20      end if;
21      return rtn_predicate;
22     end;
23*   end;
QL> /

ackage body created.
SQL> select * from xh.test;

        ID NAME
---------- ----------
         2 hr
         3 cc

SQL> conn zz/a850624
Connected.
SQL> select * from xh.test;

        ID NAME
---------- ----------
         2 hr
         3 cc~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~可查2

SQL> update xh.test set name='hh';

1 row updated.
commit;

conn xh/a831115
SQL> select * from test;

        ID NAME
---------- ----------
         1 xh
         2 hr
         3 hh~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~只能更新1
         4 dd

~~~~~~~~~~~~~~~~~~~~~~********************************************实际应该运用中比这复杂的多,函数建立也麻烦的多,基本思路就是这样 DBMS_RLS 具体使用查下联机文

档 (还可以建立成 policy group) or desc  下使用看看就知道了

SQL> desc dba_policies~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~查询现有策略
 Name                                      Null?    Type
 ----------------------------------------- -------- ----------------------------

 OBJECT_OWNER                              NOT NULL VARCHAR2(30)
 OBJECT_NAME                               NOT NULL VARCHAR2(30)
 POLICY_GROUP                              NOT NULL VARCHAR2(30)
 POLICY_NAME                               NOT NULL VARCHAR2(30)
 PF_OWNER                                  NOT NULL VARCHAR2(30)
 PACKAGE                                            VARCHAR2(30)
 FUNCTION                                  NOT NULL VARCHAR2(30)
 SEL                                                VARCHAR2(3)
 INS                                                VARCHAR2(3)
 UPD                                                VARCHAR2(3)
 DEL                                                VARCHAR2(3)
 IDX                                                VARCHAR2(3)
 CHK_OPTION                                         VARCHAR2(3)
 ENABLE                                             VARCHAR2(3)
 STATIC_POLICY                                      VARCHAR2(3)
 POLICY_TYPE                                        VARCHAR2(24)
 LONG_PREDICATE                                     VARCHAR2(3)

SQL> col  object_owner format a10
SQL> col  object_name format a10
SQL> col   package format a10
SQL> col   function format a10
SQL> col   policy_name format a10
SQL> select object_owner,object_name,package,function,policy_name from dba_polic
ies where object_name='TEST';~

OBJECT_OWN OBJECT_NAM PACKAGE    FUNCTION   POLICY_NAM
---------- ---------- ---------- ---------- ----------
XH         TEST       TEST_P     P_UPDATE   UPD_POLICY
XH         TEST       TEST_P     P_SELECT   SEL_POLICY


PROCEDURE DROP_POLICY
 Argument Name                  Type                    In/Out Default?
 ------------------------------ ----------------------- ------ --------
 OBJECT_SCHEMA                  VARCHAR2                IN     DEFAULT
 OBJECT_NAME                    VARCHAR2                IN
 POLICY_NAME                    VARCHAR2                IN
SQL> exec dbms_rls.drop_policy('xh','test','sel_policy');

PL/SQL procedure successfully completed.

SQL> exec dbms_rls.drop_policy('xh','test','upd_policy');

PL/SQL procedure successfully completed.

SQL> select object_owner,object_name,package,function,policy_name from dba_polic
ies where object_name='TEST';

no rows selected

总结:感觉 所要的结果用VIEW 就能实现,而这个太麻烦了,也许在某些地方 某些情况下 它的某些功能十分有效

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/12020513/viewspace-610626/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/12020513/viewspace-610626/

cuiye1492
关注
oracle精细访问控制(初级)
10-31
### Oracle 精细访问控制(Fine-Grained Access Control, FGAC)初级解析 #### 一、Oracle FGAC 概述 Oracle FGAC 是一种高级的安全机制,它允许管理员根据用户当前的操作环境来动态地调整用户的访问权限。与传统的...
关于采用Oralce行级安全策略解决应用系统数据权限的论述
02-26
通过利用Oracle数据库提供的Policy对象和相关的DBMS_RLS包功能,可以在不修改应用程序代码的情况下灵活地调整数据访问规则。 #### 二、Oracle行级安全策略概述 **Oracle行级安全策略**(Row Level Security)是一种...
oracle实现数据行级控制-dbms_rls包的应用
weixin_33912246的博客
01-31 170
dbms_rls包的应用——实现数据库表行级安全控制rls即row LEVEL security以kgis用户登录创建rls实验数据表并创建rls函数应用于某表进行测试C:\Windows\system32>sqlplus /nologSQL*Plus: Release 11.2.0.1.0 Production on 星期三 1月 30 10:19:59 2013Copyright (c)...
Oracle基础包之DBMS_RLS(八)
tianxingyun的专栏
11-06 568
概述 本报只适用于Oracle Enterprise Edition,它用于实现精细访问控制,并且精细访问控制是通过在SQL语句中动态增加谓词(WHERE子句)来实现的. 通过使用ORACLE精细访问控制特征,可以使不同数据库用户在执行相同SQL语句时操作同一张表上的不同数据. 例如多个用户执行select * from emp时,各自看到的行数不同。A只能看到财务部的记录,B只能看到市场部的数据。 包的组成 add_policy 作用: 用于为表、视图或同义词增加一个安全策略,当执行该操作结束是会自动提
dbms_rls
weixin_36408281的博客
11-26 515
dbms_rls只适用oracle enterprise edition,他实现精细的访问控制;   并且精细的访问控制是通过sql语句中动态增加谓词(where 子句)实现的;可以使不同的数据库用户执行相同的sql语句,操作同一张表上的不同数据;– 1,add_policy /* 该过程用于给表,视图,或同义词增加一个安全策略; 当执行该操作结束后,会
采用oracledbms_rls包实现数据访问控制
junmail的专栏
10-07 347
在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人可以进入某个控制,仓库不充许查看有关部门的字段等等)。  但在某些系统中,权限控制又必须定义到数据行访问权限的控制,此需求一般出现在同一系统,不同的相对独立机构使用的情况。(如:集团下属多个子公司,所有子公司使用同一套数据表,但不同子公司的数据相对隔离), 绝大多数人会选择在View加上Where子句来进行数据隔...
使用DBMS_RLS实现细粒度访问控制
05-18 193
1,介绍DBMS_RLS用于实现细粒度访问控制,Virtual Private Database (VPD)基于该功能实现,只在企业版中支持。 2,实现基于动态谓词实现,即在解析SQL时动态增加安全规则。 (1)可以控制的操...
oracle 虚拟专用数据库详细介绍
12-16
例如,`DBMS_RLS.ADD_POLICY`用于添加策略,而`DBMS_RLS.DROP_POLICY`用于删除策略。 5. **VPD的优势** - **无需修改应用程序**:VPD的动态SQL改写意味着不需要修改现有的应用程序代码,减少了维护工作。 - **...
Oracledbms.rls实现数据访问控制
最新发布
欢迎朋友,我是一名十多年开发经验的新手,希望多多指教。
10-20 712
在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人可以进入某个控制,仓库不充许查看有关部门的字段等等)
oracle加密ted的公开,ORACLE使用透明数据库加密_FOR_DBMS_RLS
weixin_39580041的博客
04-16 378
ORACLE使用透明数据库加密--官网文档:https://www.oracle.com/technetwork/cn/tutorials/tde-096009-zhs.html#tOracle 数据库 10g 第 2 版透明数据库加密功能简化了信用卡号码以及社会安全保险号等机密我的信息的加密。 使用透明数据加密功能,没必要将加密例程嵌套到现有应用程序中,显著下降了加密的成本和复杂性。大多数加密解...
EnterpriseDB’s Virtual Private Database vs oracle’s DBMS_RLS
深入理解PostgreSQL
12-12 1774
Oracledbms_rls实现数据访问控制 在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人可以进入某个控制,仓库不充许查看有关部门的字段等等)。 但在某些系统中,权限控制又必须定义到数据行访问权限的控制,此需求一般出现在同一系统,不同的相对独立机构使用的情况。(如:集团下属多个子公司,所有子公司使用同一套数据表,但不同子公司的数据相对隔离),绝大
Oracle策略使用(dbms_rls.add_policy)
Data & Analysis
12-13 2613
数据访问控制权限,是一个在实际项目中用得很平常的问题。比如公司部门,就工资来说,本人只能看到自己的工资信息,不能看到其他同事的信息,部门经理或更高级别的人可以看到他对应权限的信息,看到这里大多数人会选择在View加上Where子句来进行数据隔离。此方法编码工作量大、系统适应用户治理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,导致所有的View都必须修改。除了这种实现,可以采用...
ORA-28113 VPD策略问题的解决
wonder的地下室
02-16 4905
有同事反馈ORA-28113,在一个视图上增加策略时报错。oracle提供了一种判断策略问题的方法    在USER_DUMP_DEST目录中,例如 user_dump_dest=/ora/ora101/database/admin/V101/udump $ cd /ora/ora101/database/admin/V101/udump $ ls -lt 找刚刚产生的 -rw-rw---- 1 ora101
测试VPD的policy group
wgz7747147820的博客
01-20 271
首先创建一个测试表,插入一些测试数据 23:49:47 SQL> create table t_policy_group_1(group_a_col1 varchar2(20),group_a_col2 varchar2(20),group_b_col1 varchar2(20),group_b_col2 varchar2(20)); Table created. Elapsed: 00:00:00.05 23:50:41 SQL> insert into t_policy_group_1
oracle 数据库 ORA-28000错误的原因及解决办法
热门推荐
梦幻通灵
07-31 2万+
Oracle11 数据库解锁
mysql实现vpd_Oracle Virtual Private Database(VPD) 初体验
weixin_42298645的博客
02-18 226
注:本文为原创,作为学习交流使用,转载请标明作者及出处,作者保留追究法律责任的权力。Lumen Su前几周初略学习了Oracle的VPD技,做了几个试验,也在EBS系统上测试了一下。总结如下,有些内容摘自网络。在数据库的数据安全访问的解决上,有很多的方法来解决权限的问题,常用的方法例如建立视图的方法控制,例如查询语句中加where语句来控制。用view的方法在表结构或者权限变更的时候很不容易操作,...
OracleDBMS_RLS的所有用法
06-06
DBMS_RLSOracle数据库中的一个包,用于实现行级安全性(Row Level Security),即对数据库中的特定行进行访问控制。以下是DBMS_RLS的用法: 1. 创建安全策略函数(Security Policy Function):该函数用于定义...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值