小贝子编程

Oracle VPD列屏蔽,如何将默认值(null)更改为XXX



使用Oracle VPD,在添加策略和创建函数后,我能够向未经授权的用户隐藏列。

但是我怎么能显示像"xxxxxx"这样的东西呢

此外,在功能中,我正在验证用户登录,如

if sys_context( 'userenv', 'session_user' ) = 'USER1'

删除函数中这种硬编码的最佳方法是什么?

提前谢谢。

为了在非null的位置返回文本,您必须在表的顶部创建一个视图,将null更改为所需的静态文字,因为VPD中唯一的选项是隐藏行或将机密列设置为null。

对于问题的第二部分,如果您使用该检查来确定谁有权访问敏感列,您可以使用角色,并让VPD功能检查如下:

return 'exists (select null from session_roles where role = ''XXXXXX'')';

即,在会话中设置了角色XXXXXX(只需创建一个适当的角色并将其授予您的特权用户)的任何人都可以查看数据。这样你就不需要硬编码一堆用户id了。

例如:

如果我们创建一个角色并将其授予测试用户:

SQL> create role ACCESS_TABLEA_SEC_COL;
Role created.
SQL> grant ACCESS_TABLEA_SEC_COL to test;
Grant succeeded.

对于我的设置,我创建了一个简单的测试表+一个阻止人们阅读your_sec_col列的策略。

SQL> create or replace package pkg_security_control
  2  as
  3    function apply_access(p_owner in varchar2, p_obj_name  in  varchar2) return varchar2;
  4  end;
  5  /
Package created.
SQL> create or replace package body pkg_security_control
  2  as
  3    function apply_access(p_owner in varchar2, p_obj_name  in  varchar2)
  4      return varchar2
  5    is
  6    begin
  7      return 'exists (select null from session_roles where role = ''ACCESS_TABLEA_SEC_COL'')';
  8    end;
  9  end;
 10  /
Package body created.
SQL> create table TABLEA
  2  (
  3    id number primary key,
  4   your_sec_col  varchar2(30)
  5  );
Table created.
SQL> insert into tablea values (1, 'secret text1');
1 row created.
SQL> insert into tablea values (2, 'secret text2');
1 row created.

现在,如果我们从该表中进行选择,并且没有ACCESS_TABLEA_SEC_COL角色,我们将得到:

SQL> select *
  2    from tablea;
        ID YOUR_SEC_COL
---------- ------------------------------
         1
         2

但是你想要像xxxxx这样的字符串。VPD本身无法做到这一点,但视图可以将NULL解码为该字符串。

SQL> create view v_tablea
  2  as
  3  select id, case when your_sec_col is null then 'xxxxxx' else your_sec_col end your_sec_col
  4    from TABLEA;
View created.

现在,根据角色是否设置,从视图中进行选择:

SQL> set role none;
Role set.
SQL> select *
  2    from tablea;
        ID YOUR_SEC_COL
---------- ------------------------------
         1
         2
SQL> select *
  2    from v_tablea;
        ID YOUR_SEC_COL
---------- ------------------------------
         1 xxxxxx
         2 xxxxxx
SQL> set role all;
Role set.
SQL> select *
  2    from v_tablea;
        ID YOUR_SEC_COL
---------- ------------------------------
         1 secret text1
         2 secret text2
SQL> select *
  2    from tablea;
        ID YOUR_SEC_COL
---------- ------------------------------
         1 secret text1
         2 secret text2

所以VPD仍然保护您的表不受任何人的选择,但您会让客户端从视图中进行选择,以获得文本字符串。如果受保护的字符串可以包含NULL,并且您希望将这些字符串与无访问区分开来,则可以将角色检查放在视图中。

create view v_tablea
as
select id, 
       case (select 'A' from session_roles where role = 'ACCESS_TABLEA_SEC_COL') 
         when 'A' then your_sec_col else 'xxxxxxxx' end your_sec_col
  from TABLEA;

相关内容

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium