有时候我们需要对用户进行限制,只允许做DML操作,不允许做任何DDL,例如创建一个最简单的用户如下:
create user test identified by passed;
grant connect to test;
grant unlimited tablespace to test;
这样,当用户test试图创建表或者其他对象的时候就会收到ORA-01031权限不足的错误信息,但test用户对自己schema下的表仍然有修改或者删除的权限,这个权限无法取消。只能通过系统触发器来实现:
CREATE OR REPLACE TRIGGER TRG_FORBIDDEN_DDL
before DDL on database
declare
username varchar2(25);
begin
select ora_login_user into username from dual;
if (username not in ('SYS' )) then
raise_application_error(- 20000,username || '用户不允许执行DDL. (' || ora_sysevent || ')');
end if;
end;
除了sys外任何用户(即使有DBA权限也不行)执行DDL都会收到以下错误信息:
ORA-00604: error occurred at recursive SQL level 1
ORA-20000: TEST用户不允许执行DDL. (CREATE)
括号里面的文字根据用户的DDL操作不同而不同,这就达到了除了sys之外一律不允许执行DDL语句的效果。