在做exp的时候,我们可以做owner级的导出,导出该用户下的所有对象。owner级的导出,会导出所有的表,不太容易排除单独的一些表;而如果做table级的导出,就必须列出所有的table,且当数据库有增加新table的时候,也得把新增的table加到exp的列表中。
今天收到一个客户的要求,做owner级别的导出,但是需要排除几张大表。该需要做成定时的脚本每天执行。
其实,如果在10g中用数据泵,这个exclude很方便处理,但是在9i中,用什么方法才能把某些表单独排除呢?原来我们可以用FGAC来实现。
一、在这里,我们假设我们需要对用户mytest做owner级导出。
用户已创建。
SQL > grant connect , resource to mytest ;
授权成功。
SQL >
SQL > conn mytest / mytest
已连接。
SQL >
SQL >
SQL > create table t1 as select * from dual ;
表已创建。
SQL >
SQL >
SQL > create table t2 as select * from all_objects ;
表已创建。
SQL > select table_name from user_tables ;
TABLE_NAME
---------------------------- --
T1
T2
SQL >
二、新建一个用户用于做exp的导出,新建该用户的目的是:该用户只是用来做exp导出,而不修改原来的dba用户或者application用户来做exp导出:
用户已创建。
SQL > grant connect , resource , dba to expuser ;
授权成功。
SQL >
三、建立exclude_table 函数:
已连接。
SQL > CREATE or REPLACE FUNCTION exclude_table ( obj_schema VARCHAR2 ,
2 obj_name VARCHAR2 )
3 RETURN VARCHAR2 IS
4 d_predicate VARCHAR2 ( 2000 ) ;
5 BEGIN
6 if sys_context ( ' USERENV ' , ' SESSION_USER ' ) = ' EXPUSER ' THEN
7 d_predicate := ' 1=2 ' ;
8 else
9 d_predicate := '' ;
10 end if ;
11 RETURN d_predicate ;
12 END exclude_table ;
13 /
函数已创建。
SQL >
这个函数用来控制用户对某个表的访问,FGAC大致的功能是利用dbsm_rls部署一些策略(policy),这些策略会调用一些函数,比如上面我定义的那个exclude_table函数,利用函数,来使得普通执行的sql后面加上谓词。
比如,某sql是:
被细粒度权限控制之后,这个sql语句会自动在后面加上where的谓词做过滤,变成类似:
因此,当被细粒度权限控制之后,就算执行select table_name from dba_tables;也只能出现owner=’MYUSER’的表。
回到上面的exclude_table函数,大致的意思就是当操作的用户是EXPUSER的时候,就在操作的语句后面加1=2,我们知道1=2为非真,因此能select出来的结果肯定是0行。因此,这样就类似的实现了我们对某些表做exp的时候,不导出数据的目的。
好,我们继续把这个函数的功能加到mytest用户下的t1表上。我们用dbms_rls.add_policy来实现,我们先看一下这个过程的参数:
参数名称 类型 输入/输出默认值?
---------------------------- -- ----------------------- ------ --------
OBJECT_SCHEMA VARCHAR2 IN DEFAULT
OBJECT_NAME VARCHAR2 IN
POLICY_NAME VARCHAR2 IN
FUNCTION_SCHEMA VARCHAR2 IN DEFAULT
POLICY_FUNCTION VARCHAR2 IN
STATEMENT_TYPES VARCHAR2 IN DEFAULT
UPDATE_CHECK BOOLEAN IN DEFAULT
ENABLE BOOLEAN IN DEFAULT
STATIC_POLICY BOOLEAN IN DEFAULT
POLICY_TYPE BINARY_INTEGER IN DEFAULT
LONG_PREDICATE BOOLEAN IN DEFAULT
SEC_RELEVANT_COLS VARCHAR2 IN DEFAULT
SEC_RELEVANT_COLS_OPT BINARY_INTEGER IN DEFAULT
几个主要字段的解释:
object_schema :用来做细粒度访问控制对象所对应的用户,如果为空则默认是当前用户。
object_name :用来做细粒度访问控制对象 ( 可以是表,或视图或同义词 )
policy_name :策略名,可自定义。但是如果对同一表或者视图,策略名必须唯一。但是如果是不同用户下的同一个表或者视图,可以用相同的策略名。
function_schema :自定义函数的用户,该用户应该有权限能调用之前我们建立的那个函数。如果为空,则默认是当前用户。
policy_function :函数名,即之前我们自己定义谓词的函数,如果函数定义在包里面,则这里也需写上包的名字。
statement_types :操作的类型,如 select , insert , update 或 delete ,如果为空,则默认是所有类型的操作。
因此对于排除mytest用户下的t1表,我们可以执行:
, POLICY_FUNCTION => ' EXCLUDE_TABLE ' ) ;
PL / SQL 过程已成功完成。
SQL >
上述的结果可以用这个sql去检查:
2 where PF_OWNER = ' EXPUSER ' ;
OBJECT_OWN OBJECT_NAM POLICY_GROUP POLICY_NAM PF_OWNER FUNCTION
-------- -- ---------- ------------------------------ ---------- ---------- ------------------------------
MYTEST T1 SYS_DEFAULT POL_T1 EXPUSER EXCLUDE_TABLE
SQL >
四、好,我们现在来测试owner级导出:
1、我们先测试一下select操作:
已连接。
SQL > select * from mytest . t1 ;
D
-
X
SQL >
SQL > conn expuser / expuser
已连接。
SQL > select * from mytest . t1 ;
未选定行
SQL >
这里的区别已经很明显的看出来了。
2、最后我们来实现我们的需求,按照owner级的导出,却排除t1表:
Export : Release 10.2.0.1.0 - Production on 星期五 1 月 7 22 : 25 : 34 2011
Copyright ( c ) 1982 , 2005 , Oracle . All rights reserved .
连接到: Oracle Database 10 g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning , OLAP and Data Mining options
已导出 ZHS16GBK 字符集和 AL16UTF16 NCHAR 字符集
即将导出指定的用户...
. 正在导出 pre - schema 过程对象和操作
. 正在导出用户 MYTEST 的外部函数库名
. 导出 PUBLIC 类型同义词
. 正在导出专用类型同义词
. 正在导出用户 MYTEST 的对象类型定义
即将导出 MYTEST 的对象...
. 正在导出数据库链接
. 正在导出序号
. 正在导出簇定义
. 即将导出 MYTEST 的表通过常规路径...
EXP - 00079 : 表 " T1 " 中的数据是被保护的。常规路径只能导出部分表。
. . 正在导出表 T1 导出了 0 行
EXP - 00091 : 正在导出有问题的统计信息。
. . 正在导出表 T2 导出了 38250 行
. 正在导出同义词
. 正在导出视图
. 正在导出存储过程
. 正在导出运算符
. 正在导出引用完整性约束条件
. 正在导出触发器
. 正在导出索引类型
. 正在导出位图, 功能性索引和可扩展索引
. 正在导出后期表活动
. 正在导出实体化视图
. 正在导出快照日志
. 正在导出作业队列
. 正在导出刷新组和子组
. 正在导出维
. 正在导出 post - schema 过程对象和操作
. 正在导出统计信息
导出成功终止, 但出现警告。
C :\>
我们看到t1表导出了0行(但是表结构还是被导出的)。
五、取消FGAC。
取消很容易,执行执行dbms_rls中的drop_policy即可:
PL / SQL 过程已成功完成。
SQL >
889
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
