- 关 键 词:
- oracle存储过程
- update
- 数据库
角色(数据库权限集)与存储过程、函数和数据包之间的交互方式是Oracle安全模型中最难以处理的一个部分。Oracle中的对象权限可以直接或通过角色间接授予用户。
假设一个HR用户向用户ABEL授予EMPLOYEES表的一些许可:
GRANT select, insert, update, delete
这个语句直接把上述四个权限授予给用户ABEL。另一方面,假设一名HR用户这样做:
GRANT select, insert, update, delete ON employees TO hr_role;
如果ABEL已被授予HR_ROLE角色,那么他现在通过这个角色就直接拥有了以上权限。
不管使用哪种方法,现在ABEL都拥有了HR.EMPLOYEES表的SELECT权限。如果ABEL通过SELECT语句直接从表中选择数据,那么他如何获得许可并不重要。
但是,如果ABEL试图建立从这个表中选择的存储过程、函数或数据包,那么他是直接获得许可,还是通过角色取得许可就存在很大差异。
Oracle要求直接向用户授予一个存储过程中的非拥有对象许可。在编辑过程中角色被临时关闭,用户不能访问授予给他们的任何内容。这样做是出于性能和安全考虑。
角色可以通过SET ROLE命令动态激活和禁用,如果Oracle需要不断检查哪个角色和许可当前处于激活状态,则会带来巨大的管理负担。
下面的代码是一个更新HR雇员文件的简短存储过程(这段代码用一个同义字EMPLOYEES来代表HR.EMPLOYEES)。当ABEL在第一种情况下试图用直接权限编辑这个文件时,编辑取得成功;当他在第二种情况下仅用间接权限编辑时,编辑失败。
CREATE OR REPLACE PROCEDURE update_emp (
p_employee_id IN NUMBER
,p_salary IN NUMBER
)
AS
v_department_idemployees.department_id%TYPE;
BEGIN
SELECT department_id INTO v_department_id
FROM employees
WHERE employee_id = p_employee_id;
UPDATE employees
SET salary = p_salary
WHERE employee_id = p_employee_id;
IF v_department_id = 100 THEN
UPDATE local_employees
SET salary = p_salary
WHERE employee_id = p_employee_id;
END IF;
END;
/
有趣的是,向PUBLIC授予许可和直接授予所有用户许可相同。PUBLIC常被认为是一个角色,但它并不是一个角色。它是一个用户集而不是一个许可集。如果向PUBLIC授权HR.EMPLOYEES的许可,ABEL将能够建立他自己的存储过程。虽然在EMPLOYEES表中我们不推荐这样做,但任何授予给PUBLIC的表都可以自由地在存储过程中应用。
收藏地址:http://www.qqread.com/oracle/2007/05/l314302.html
更多内容请看存储过程、网络存储—光纤通道、Oracle 10g基础应用专题,或进入讨论组讨论。
相关专题
- 存储过程 (2966篇文章)
- 网络存储—光纤通道 (3025篇文章)
- Oracle 10g基础应用 (4472篇文章)
- 服务器存储专栏 (8330篇文章)
- oracle 存储过程 (71篇文章)
- Oracle数据库系统使用的几条经验分享 (5次浏览)
- Oracle数据库三种标准的备份方法 (4次浏览)
- Oracle数据库的四种启动方式 (3次浏览)
- 在TransactionScope中优先使用Oracle的.NET驱 (2次浏览)
- 如何手工创建Oracle数据库 (1次浏览)
- 详细介绍手工创建oracle数据库 (0次浏览)
- 数据安全手册:数据保存四项注意 (0次浏览)
- 几种oracle数据库恢复的练习示例 (0次浏览)
- 提高Oracle数据库系统Import的性能 (0次浏览)
- Oracle 9i在AIX上的性能调整 (0次浏览)
