通过一个具体案例,体验一下VPD带给我们的功能特点。1.初始化环境构造表T,其中包含一个字段X。sec@ora10g> create table t (x number);
sec@ora10g> insert into t values (1);
sec@ora10g> insert into t values (2);
sec@ora10g> insert into t values (10001);
sec@ora10g> insert into t values (10002);
sec@ora10g> commit;
sec@ora10g> select * from t;
X
----------
1
2
10001
10002
2.问题场景描述
禁止查询T表中X列值大于10000的数据。
3.实现方法一:使用视图
这种方法可能是大家都很容易想到的,实现起来相对简单。但无法真正做到禁止访问基础表。
sec@ora10g> create view v_t as select * from t where x <=10000;
View created.
sec@ora10g> select * from v_t;
X
----------
1
2
此时如果直接查询基础表t,仍然可以获得说有的数据。
sec@ora10g> select * from t;
X
----------
1
2
10001
10002
4.实现方法二:使用VPD
1)创建VPD需要的函数,这里给出的名字是f_limited_query_t。
CREATE OR REPLACE FUNCTION f_limited_query_t (s_schema IN VARCHAR2,
s_object IN VARCHAR2)
RETURN VARCHAR2
AS
BEGIN
RETURN 'X <= 10000';
END;
/
Function created.
2)将函数与需要保护的表进行关联
BEGIN
DBMS_RLS.add_policy (object_schema => 'SEC',
object_name => 'T',
policy_name => 'POLICY_LIMITED_QUERY_T',
function_schema => 'SEC',
policy_function => 'F_LIMITED_QUERY_T');
END;
/
PL/SQL procedure successfully completed.
3)验证VPD效果
此时在sec用户下直接查询t表,获得的也仅仅是我们要求的数据范围。
sec@ora10g> select * from t;
X
----------
1
2
即便是连接到其他用户依然无法获得sec用户下t表隐藏掉的数据。
sec@ora10g> conn secooler/secooler
Connected.
secooler@ora10g> select * from sec.t;
X
----------
1
2
只有sys用户有权查看到sec用户下t表的全部数据
sec@ora10g> conn / as sysdba
Connected.
sys@ora10g> select * from sec.t;
X
----------
1
2
10001
10002
4)去掉VPD对数据访问的限制
我们可以使用DBMS_RLS.drop_policy来完成这个任务。
secooler@ora10g> conn sec/sec
Connected.
BEGIN
DBMS_RLS.drop_policy (object_schema => 'SEC',
object_name => 'T',
policy_name => 'POLICY_LIMITED_QUERY_T');
END;
/
PL/SQL procedure successfully completed.
此时可获得T表的全部数据
sec@ora10g> select * from t;
X
----------
1
2
10001
10002
--转自