DBMS_SESSION.SET_CONTEXT的使用及无效权限问题的解决

最新推荐文章于 2022-07-05 16:42:00 发布
最新推荐文章于 2022-07-05 16:42:00 发布
阅读量327 收藏
点赞数
文章标签: SQL

ORA-01031: insufficient privileges
ORA-06512: at "SYS.DBMS_SESSION", line 90
ORA-06512: at "UNIFLOW.SET_MY_APP_CTX", line 5
ORA-06512: at line 1

应用程序环境

使用客户端标识符有它的优点,但也存在严重的安全威胁:这种设置假定用户将值设为真正的用户 id,但这一点无法得到保证。恶意攻击的用户可以连接然后将该值设为不同的用户 id,严重地破坏审计跟踪的真实性。在 web 应用程序中,使用 cookie 存储客户端标识符使得破坏更困难(如果不是不可能);但是在普通的应用程序中,仅仅使用客户端标识符,安全性可能不尽人意。我们需要一种更安全的方法来捕获审计跟踪中的应用程序用户。

进入解决方案:应用程序环境.应用程序环境类似于会话变量;一旦设置了,任何时候都可以在会话中访问它们。可以在另一个会话中设置一个不同的值,而在整个会话中都看不到这个值。环境具有的属性类似于表的列;但与表不同的是,环境不是片段对象,属性可以在运行时而不是设计时定义。

可以使用下列 SQL 创建应用程序环境: 

create context my_app_ctx using set_my_app_ctx;

注意,子句 using set_my_app_ctx 意味着环境中的属性只能通过名为 set_my_app_ctx 的过程来操作,该过程定义如下: 

create or replace procedure set_my_app_ctx
(
   p_app_user in varchar2 := USER
)
is
begin
   dbms_session.set_context('MY_APP_CTX','APP_USERID', p_app_user);
end;

此过程通过调用 dbms_session.set_context API,简单地将属性 APP_USERID 设置为输入参数传递的值。因此,如果用户直接调用此 API,其结果会如何呢? 

SQL> exec dbms_session.set_context('MY_APP_CTX','APP_USERID', 'JUNE')
BEGIN dbms_session.set_context('MY_APP_CTX','APP_USERID', 'JUNE'); END;

*
ERROR at line 1:
ORA-01031: insufficient privileges
ORA-06512: at "SYS.DBMS_SESSION", line 78
ORA-06512: at line 1

注意错误 ORA-01031:insufficient privileges 有点令人误解。用户的确对 SYS.DBMS_SESSION 有执行权限,但是通过调用它来设置环境属性是违法的,因此出现了错误。但是,当用户调用受信任的过程来设置环境属性: 

SQL> execute set_my_app_ctx ('AAAA')

PL/SQL procedure successfully completed.

设置成功了。因为环境属性只能通过它的过程(正确叫法是 受信任的过程)来设置。这是应用程序环境一个非常重要的属性,将在 FGA 中得到使用。

一旦设置了环境属性,可以通过调用函数 SYS_CONTEXT 来检索它。在上述代码中设置完环境后,可以通过下列语句来查看环境: 

select sys_context('MY_APP_CTX','APP_USERID') from dual;

该语句返回属性值。如果可以通过安全的方式设置环境,则可以利用环境来设置客户端标识符。

基于我们现有的知识,以下是可能的解决方案:

  • 应用程序执行过程代码,该代码自动地将应用程序环境设置为正确的值。在上述示例中,使用了用户 id 的环境属性,但另一个属性—如用户的角色—可能已经被使用了。可以在一个环境中定义多个属性。可以将属性作为启用的角色使用。受信任的过程可以包括各种类型的安全检查,从而使得它安全且真实可信。如果安全检查失败了,则不能设置所需的角色。因此,即使用户可以使用 APPUSER 帐号成功地登录,他也不能够操作数据,因为没有启用适当的角色。注意,角色必须经过过程认证,而不能是普通的角色。这种角色由命令 CREATE ROLE <role_name>USING <procedure_name></procedure_name></role_name>创建;用户通过调用 <procedure_name></procedure_name>而不是 SET ROLE 命令启用角色。

  • 此过程也设置客户端标识符,因此没有必要授予公众对 dbms_session 的执行权限,即使对此用户也没有必要。由于用户没有权限调用 API,他们不能直接设置客户端标识符—客户端标识符将被自动设置,并且传递到细粒度的审计跟踪。
iteye_20954
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[Oracle] dbms_metadata.get_ddl 的使用方法总结
09-10
以下是对Oracle中dbms_metadata.get_ddl的用法进行了详细的分析介绍,需要的朋友参考下
DBMS_STATS.GATHER_TABLE_STATS详解.pdf
02-01
作用:DBMS_STATS.GATHER_TABLE_STATS统计表,列,索引的统计信息. DBMS_STATS.GATHER_TABLE_STATS的语法如下: DBMS_STATS.GATHER_TABLE_STATS ( ownname VARCHAR2, tabname VARCHAR2, partname VARCHAR2, estimate_...
dbms_session(会话)
随风而逝的博客
11-03 1327
/* 该包提供了使用pl/sql实现alter session命令,set role 命令,和其他会话的方法; */ – 1,set_identifier  /* 该过程用于设置会话客户的id号; */ dbms_session.set_identifier(client_id => ); – 2,set_context  /* 该过程设置...
oracle dbms_session.set_context,ORA-06512: at "SYS.DBMS_SESSION", line 122
weixin_39932762的博客
04-07 610
2655270 wrote:HIwhile exec below command it is failed it showbegin dbms_session.set_context('ECGC_USERROLES_'||xx_x_preferanse.pref_verdi('OPERATION'), 'ROLELIST', null, null, 'sysadmin');end;ORA-0103...
oracle查看directory使用权,请教关于dbms_session使用权限问题
weixin_39977934的博客
04-03 328
Problem Description:~~~~~~~~~~~~~~~~~~~~You created context and are trying to add additional attributes there usingDBMS_SESSION.SET_CONTEXT procedure are are receiving:ERROR at line 1:ORA-01031: insuf...
关于“调用CONTEXT上下文报错,ORA-01031: 权限不足 ,ORA-06512”的讨论
qinfenxianyin的博客
07-24 1517
    首先我们要明白什么是上下文。      context其实说白了,和文章的上下文是一个意思,在通俗一点,我觉得叫环境更好。      ....      林冲大叫一声“啊也!”      ....      问:这句话林冲的“啊也”表达了林冲怎样的心里?      答:啊你妈个头啊!      看一篇文章,给你摘录一段,没前没后,你读不懂,因为有语境,就是语言环境存在,一段话说了什...
DBMS_RANDOM.VALUE OR DBMS_RANDOM.STRING
03-18
NULL 博文链接:https://duqiangcise.iteye.com/blog/648491
Oracle中使用DBMS_XPLAN处理执行计划详解
12-16
在以前查看SQL执行计划的时候,我都是使用set autotrace命令,不过现在看来,DBMS_XPLAN包给出了更加简化的获取和显示计划的方式。 这5个函数分别对应不同的显示计划的方式,DBMS_XPLAN包不仅可以获取解释计划,它还...
DBMS_c.rar_C语言实现DBMS_DBMS_c_c语言DBMS_dbms
09-24
使用C语言实现的数据库管理系统。 支持简单类 SQL语言。
PLSQL专项学习之DBMS_SESSION
京斗码农的博客
05-15 2002
DBMS_SESSION 这个包提供了从PL/SQL访问SQL ALTER SESSIONSET ROLE语句,以及其他会话信息。可以使用DBMS_SESSION设置首选项和安全级别。 本章包括以下主题: 安全模型 操作记录 DBMS_SESSION用法 数据结构 DBMS_SESSION子程序的摘要 ...
六.dbms_session(提供了使用PL/SQL实现ALTER SESSION命令)
weixin_30653023的博客
08-13 290
1、概述 作用:提供了使用PL/SQL实现ALTER SESSION命令,SET ROLE命令和其他会话信息的方法 .2、包的组成 1)、set_identifier说明:用于设置会话的客户ID号。语法:dbms_session.set_identifier(client_id varchar2);其中client_id指定当前会话的应用标识符。2)、set_context说明:用于设置应用...
oracle查看context,oracle sys_contextdbms_session.set_context实现view动态查询
weixin_36073714的博客
04-04 370
--创建包及包体(之前我仅创建包,未创建包体;且要定义一个存储过程--调用dbms_session.set_context配置context的相关参数值SQL> create or replace package pack_order_date2 as3 procedure put(key varchar2,value varchar2);4 end pack_order_date...
SET_CONTEXT ORA-01031: 权限不足
xionglang7的专栏
11-10 4692
过程就这样: create or replace package body parp_set_user_pkg is procedure set_user_id(user_id varchar2) is begin     DBMS_SESSION.SET_CONTEXT('ctx_parp_set_user','user_id',user_id); end set_user_id;
oracle vpd 实验攻略及三个oracle错误(ORA-01031 ORA-06512 ORA-28112)
cjz37323的博客
12-30 427
--1、创建oracle环境上下文设置函数和策略应用函数。 SQL>CREATEORREPLACEPACKAGEyangxlAS 2--环境上下文设置 3PROCEDU...
ORA-12012、ORA-20001、ORA-06512报错解决方法
qq_40699063的博客
07-05 5128
报错内容:ORA-12012: error on auto execute of job "SYS"."ORA$AT_OS_OPT_SY_88" ORA-20001: Statistics Advisor: Invalid Task Name For the current user
利用DBMS_SESSION.SET_CONTEXT传值
congsong2560的博客
11-28 254
公司的应用有一需求: 现有一需求,需要在行级触发器执行存储在数据库表当中的一段PL/SQL脚本 类似于 CREATE OR REPLACE TRIGGER tr_emp AFTER UPDATE OR ...
oracle上下文 查看删除,【Oracle】自定义CONTEXT(上下文)
weixin_39531761的博客
04-10 408
DefaultSCOTT@ORA11GR2> select sys_context('userenv','db_name') db_name,sys_context('userenv','host') host_name from dual;DB_NAME HOST_NAME-------- ----------ORA11GR2 ocmuSCOTT@ORA11GR2>1234567S...
SQL> SQL> UPDATE TRANSACTION_DETAILS 2 SET Price = utl_raw.cast_to_varchar2(dbms_crypto.encrypt( 3 utl_i18n.string_to_raw(TO_CHAR(Price, 'FM99999990.99')||' ', 'AL32UTF8'), 4 dbms_crypto.ENCRYPT_AES256 + dbms_crypto.CHAIN_CBC + dbms_crypto.PAD_PKCS5, 5 utl_i18n.string_to_raw('251251', 'AL32UTF8') 6 )); dbms_crypto.ENCRYPT_AES256 + dbms_crypto.CHAIN_CBC + dbms_crypto.PAD_PKCS5, * ERROR at line 4: ORA-06553: PLS-221: 'ENCRYPT_AES256' is not a procedure or is undefined 怎么解决
最新发布
05-25
解决这个问题,可以把加密算法的常量值放到一个变量中,再在UPDATE语句中使用该变量,例如: ``` DECLARE l_algorithm PLS_INTEGER := dbms_crypto.ENCRYPT_AES256 + dbms_crypto.CHAIN_CBC + dbms_crypto.PAD_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值