如何只授予用户查看存储过程定义的权限

最新推荐文章于 2020-11-28 23:47:49 发布
转载 最新推荐文章于 2020-11-28 23:47:49 发布 · 426 阅读 · 0
文章标签:

#数据库

有个网友问我,如何授予某个用户只能查看某些存储过程的定义权限,而不能让用户去修改、执行存储过程。看似简单的问题,却因为从没有碰到这样的需求。花了点时间才梳理、总结清楚。

关于ORACLE账号的权限问题,一般分为两种权限:

          

      系统权限: 允许用户执行特定的数据库动作,如创建表、创建索引、创建存储过程等

      对象权限: 允许用户操纵一些特定的对象,如读取视图,可更新某些列、执行存储过程等

像这种查看存储过程定义的权限为对象权限,但是我们还是首先来看看关于存储过程的系统权限吧:

SQL> SELECT * FROM SYSTEM_PRIVILEGE_MAP WHERE NAME LIKE '%PROCEDURE%';
 
 PRIVILEGE NAME                                       PROPERTY
---------- ---------------------------------------- ----------
      -140 CREATE PROCEDURE                                  0
      -141 CREATE ANY PROCEDURE                              0
      -142 ALTER ANY PROCEDURE                               0
      -143 DROP ANY PROCEDURE                                0
      -144 EXECUTE ANY PROCEDURE                             0
      -241 DEBUG ANY PROCEDURE                               0
 
6 rows selected.

如上所示,关于存储过程的系统权限一般有六种: CREATE PROCEDURE、CREATE ANY PROCEDURE、 ALTER ANY PROCEDURE、DROP ANY PROCEDURE、 EXECUTE ANY PROCEDURE、DEBUG ANY PROCEDURE. 那么关于存储过程的对象权限又有那些呢? 如下例子所示,在用户ESCMUSER下创建存储过程PROC_TEST

CREATE OR REPLACE PROCEDURE ESCMUSER.PROC_TEST
AS
BEGIN 
  DBMS_OUTPUT.PUT_LINE('It is only test');
END;

使用system用户创建用户TEMP,如下所示

SQL> create user temp identified by temp;
 
User created.
 
SQL> grant connect,resource to temp;
 
Grant succeeded.

在用户ESCMUSER下将存储过程PROC_TEST的所有权限授予给用户TEMP。 那么我们发现存储过程的对象权限只有EXECUTE、DEBUG权限

SQL> GRANT ALL ON PROC_TEST TO TEMP;

 
SQL> COL GRANTEE FOR A12;
SQL> COL TABLE_NAME FOR A30;
SQL> COL GRANTOR FOR A12;
SQL> COL PRIVILEGE FOR A8;
SQL> SELECT * FROM USER_TAB_PRIVS_MADE WHERE GRANTEE='TEMP';
 
GRANTEE      TABLE_NAME              GRANTOR      PRIVILEGE               GRA HIE
---------- --------------------- ------------ --------------------------- --- ---
TEMP         PROC_TEST                ESCMUSER     DEBUG                   NO  NO
TEMP         PROC_TEST                ESCMUSER     EXECUTE                 NO  NO
 
SQL>

将存储过程PORC_TEST的权限从TEMP用户收回,然后授予用户TEMP关于存储过程PROC_TEST的DEBUG权限

SQL>REVOKE ALL ON PROC_TEST FROM TEMP;
 
SQL>GRANT DEBUG ON PROC_TEST TO TEMP;

那么TEMP用户此时执行存储过程报权限不足

SQL> SET SERVEROUT ON;
SQL> EXEC escmuser.proc_test;
 
begin escmuser.proc_test; end;
 
ORA-06550: line 2, column 16:
PLS-00904: insufficient privilege to access object ESCMUSER.PROC_TEST
ORA-06550: line 2, column 7:
PL/SQL: Statement ignored

此时,如果修改存储过程PROC_TEST就会ORA-01031权限不足问题。但是你可以在PL/SQL Developer工具或使用下面视图查看存储过程的定义。如下所示。

SELECT * FROM ALL_SOURCE WHERE NAME='PROC_TEST'

所以,只需要授予存储过程的DEBUG权限给某个用户,就可以实现只授予用户查看存储过程定义的权限,而限制用户修改、执行存储过程。从而达到只授权用户查看存储过程定义的权限。不过这样实现,总让我感觉有点怪怪的。

MySQL 用户执行存储过程权限
带你成为别人眼中的大佬!
09-27 1346
然而,为了安全性和权限控制的考虑,MySQL存储过程提供了特定的权限,以限制用户存储过程的执行。需要注意的是,为了安全性考虑,应该仔细评估授予权限的范围。只授予用户执行存储过程所需的最小权限,以减少潜在的安全风险。一旦用户获得了上述权限,他们就可以执行存储过程了。语句,可以轻松地为用户授予这些权限。然后,用户可以通过调用存储过程来执行预定义数据库操作。存储过程数据库权限用户还需要具有访问存储过程所在数据库权限。的存储过程,其中包含了一个简单的查询语句。语句授予用户执行存储过程权限
存储过程中的权限
weixin_33758863的博客
08-28 219
如何在存储过程中拥有role的权限我们知道,用户拥有的role权限存储过程是不可用的。如:select * from dba_role_privs where grantee='SUK';我们知道,用户拥有的role权限存储过程是不可用的。如: SQL> select * from dba_role_privs where grantee='SUK';...
存储过程权限
数据库
12-04 182
在执行存储过程时,我们可能会遇到权限问题 ● 定义权限存储过程 ● 调用者权限存储过程数据库中创建存储过程时,定义权限是缺省模式 当指定AUTHID CURRENT_USER关键字后,便是调用者权限存储过程 他俩之间最根本的差异在于role能否在存储过程中生效㈠ 定义权限存储过程问题 定义权限存储过程role无效,必须要有显式授权 即便是拥有dba role,还是不能访问不同用户的表...
存储过程调用权限
麦田里的虫子
05-21 1603
SQL SECURITY DEFINER 创建存储过程默认调用权限以definer执行,即调用者以存储过程创建者的权限来执行,mysql检查创建者的执行权限 SQL SECURITY INVOKER 存储过程以调用者的权限来执行,mysql检查调用者是否有执行存储过程定义语句的权限 ps:以上两种都需要调用者有存储过程的EXECUTE权限...
存储过程执行权限
weixin_30240349的博客
04-13 421
最后更新时间: 2014年4月13日,星期日存储过程分为两种,即DR(Definer's Rights ) Procedure和IR(Invoker's Rights ) Procedure。为什么会有两种存储过程呢?比如说用户user02创建了修改表t1的存储过程,当用户user01调用时,是修改的user01自己的t1表还是user02的t1表? 示例:用户user02将存过赋执行...
如何实现只授予用户查看存储过程定义权限
12-16
有个网友问我,如何授予某个用户只能查看某些存储过程定义权限,而不能让用户去修改、执行存储过程。看似简单的问题,却因为从没有碰到这样的需求。花了点时间才梳理、总结清楚。 关于ORACLE账号的权限问题,一般...
SQL Server查看login所授予的具体权限问题
09-09
3. **对象级别的权限**: 对象级别的权限包括对表、视图、存储过程、函数等数据库对象的操作,如SELECT、INSERT、UPDATE、DELETE、EXECUTE等。可以使用GRANT、DENY和REVOKE语句来授予、拒绝或撤销这些权限。 4. **...
Oracle数据库存储过程权限.doc
12-09
定义权限存储过程,是指在创建存储过程时,其权限存储过程的所有者为基础。当不特别指定存储过程权限模式时,默认使用的是定义权限模式。在这种模式下,角色(role)在存储过程中是无效的,即使存储过程的...
Mysql修改存储过程相关权限问题
热门推荐
qq1353424111的博客
09-21 3万+
在使用mysql数据库经常都会遇到这么一个问题,其它用户定义存储过程,现在使用另一个用户却无法修改或者删除等;正常情况下存储过程定义者对它有修改、删除的权限;但是其它的用户就要相于的授权,不然无法查看、调用; mysql 中使用用户A创建一个存储过程,现在想通过另一个用户B来修改A创建的存储过程;以下记录就是基于这样的情况产生的; 用户A对OTO3库的权限mysql> show grants for 'a'@'%'; +-------------------------------
MySQL存储过程权限问题
congbao6525的博客
04-16 328
MySQL存储过程,没错,看起来好生僻的使用场景。问题源于一个开发同学提交了权限申请的工单,需要开通一些权限。 本来是一个很正常的操作,但在我来看...
mysql存储过程权限 definer
huangbaokang的博客
03-13 2252
mysql用户存储过程权限有: ALTER ROUTINE 编辑或删除存储过程 CREATE ROUTINE 创建存储过程 EXECUTE运行存储过程 存储过程的创建者拥有存储过程的ALTER、CREATE、EXECUTE权限。 DEFINER用于指明存储过程是由哪个用户定义的,默认存储过程定义者是存储过程,跟存储过程的使用权限无关。 INVOKER用于指定哪些用户有调用存储过...
mysql创建存储过程权限问题
weixin_34410662的博客
06-06 210
首先,在mysql存储过程出现的同时,用户权限也增加了5种,其中和存储过程有关的权限有 三种: ALTER ROUTINE 编辑或删除存储过程 CREATE ROUTINE 建立存储过程 EXECUTE 运行存储过程在使用GRANT创建用户的时候分配这三种权限存储过程在运行的时候默认是使用建立者的权限运行的。 需要注意的是在一个用户拥有建立存储过程权限时,如果其没有对于select、upda...
存储过程权限问题
十月空空的专栏
03-17 820
    早上测试新SQL SERVER账号对存储过程的使用情况,对于没有删除表数据权限用户来执行含有删除语句的存储过程却可以正常执行,虽然结果是自己想要的,但是过程却和想象的相差甚远。后来经过一上午的测试发现存储过程权限与T-SQL的执行权限不太一样:    在权限设置上,对于表当然是经典的INSERT,UPDATE,SELECT权限了,类似的还能赋予视图等,在存储过程上,一般的只是赋予E
MySQL 简单权限控制(授予某个用户执行某一个存储过程权限)
dajiangqingzhou的专栏
11-01 9316
  1.  查看某个用户权限: 假设我有的MySQL数据库只有一个用户,名为root 列出所有用户: select concat('user:''',user,'''@''',host,''',') as quary from mysql.user; 或者更直接的写法: select user,host from mysql.user; 示例结果: +--------------...
MySQL存储过程权限问题分析
杨建荣的学习笔记
11-28 486
这是学习笔记的第2296篇文章 前几天和同事快速分析了一个小案例,是关于MySQL存储过程权限相关的,有一些技巧和思路可以借鉴。 问题的背景是有个开发同学提交了一个存储过程,但是...
MYSQL存储过程权限问题分析(Security_type详解)
cuanzhutang8944的博客
12-14 1180
最近遇到一些咨询存储过程访问权限拒绝的问题,有可能是应用账户没有被赋予存储过程执行权限,也有可能是没有访问存储过程对象的权限,甚至有可能是存储过程定义安全类型默认的情况下创建存储过程用户被删除等等都有可能导致存储过程无...
存储过程权限(二)
cmff98425的博客
01-15 108
2.调用者权限,AUTHID CURRENT_USER 存储过程有编译和执行2个阶段。 从编译阶段来看,调用者权限存储过程定义权限存储过程是一样的,角色都无效,都必须进行显式授权。 但在执行阶段,调...
mysql存储过程创建及可执行时权限
atzqtzq的博客
06-01 361
在工作中遇到使用php调用存储过程,数据库迁移后,不能再用,把遇到的问题记录下来. 1.存储过程定义者 在创建存储过程时,需要显示指定定义人:CREATE DEFINER=`deployop`@`localhost` PROCEDURE 2.存储过程执行权限 存储过程的执行需要execute权限,需要指定使用数据库用户有此权限(粒度在具体一个数据库上即可):GRANT execute ON ...
存储过程怎么授予权限
最新发布
06-11
<think>我们正在讨论的是SQLServer中如何为存储过程授权。根据引用内容,我们可以总结如下:1.在SQLServer中,要允许用户执行存储过程,需要授予用户对该存储过程的`EXECUTE`权限(引用[1][3])。2.存储过程可以用于封装敏感操作(如`TRUNCATETABLE`),避免直接向用户授予过高的权限(引用[2])。3.可以批量授权存储过程的执行权限(引用[3])。4.授权语句的一般格式(引用[5]):`GRANT<权限>ON<对象>TO<用户>`具体步骤:1.**创建存储过程**:首先确保存储过程已经存在(引用[2]介绍了创建步骤)。2.**创建数据库用户**:如果还没有对应的用户,需要先创建(引用[1])。3.**授予执行权限**:-单个存储过程授权:`GRANTEXECUTEON[dbo].[存储过程名]TO[用户名]`-批量授权:可以通过系统视图(如`sys.procedures`)生成授权语句并执行(引用[3])。批量授权示例(引用[3]):```sqlSELECT'GRANTEXECUTEON[dbo].['+name+']TO[user_name];'FROMsys.procedures;```将查询结果复制出来执行,或者使用动态SQL执行。4.**权限验证**:使用该用户登录,尝试执行存储过程,确保没有其他权限问题(如存储过程内部访问的其他对象权限)。注意:-存储过程内部操作其他对象时,用户不需要直接拥有那些对象的权限,因为存储过程的所有者(通常为dbo)有权限即可(所有权链)。但如果所有权链断裂(如跨数据库或所有者不同),则需要授权(引用[2]提到,但未详细展开)。-要防止用户直接操作表,可以拒绝用户对表的直接DML权限,而只允许通过存储过程操作(引用[2])。举例:如果我们有一个存储过程`usp_UpdateInventory`,我们想授权给用户`report_user`执行:```sqlGRANTEXECUTEON[dbo].[usp_UpdateInventory]TO[report_user];```如果存储过程在模式`schema1`下,则需要写:```sqlGRANTEXECUTEON[schema1].[usp_UpdateInventory]TO[report_user];```此外,引用[4]展示了一个生成拒绝其他权限语句的存储过程例子(针对视图),同理我们可以生成对存储过程执行权限的授权语句。引用[5]提供了权限收回的格式,如果需要撤销权限:```sqlREVOKEEXECUTEON[dbo].[usp_UpdateInventory]FROM[report_user];```下面根据要求组织回答。</think> ### SQL Server 存储过程权限授予指南 #### 🛡️ 一、单个存储过程授权 对特定存储过程授予`EXECUTE`权限的语句: ```sql GRANT EXECUTE ON [dbo].[存储过程名] TO [用户名]; ``` *示例*: ```sql GRANT EXECUTE ON dbo.UpdateInventory TO ReportUser; ``` > **关键点**:用户只需`EXECUTE`权限即可运行存储过程,无需底层对象的直接权限[^2][^1]。 #### 🔢 二、批量授权方法 通过系统视图批量生成授权语句: ```sql SELECT 'GRANT EXECUTE ON [dbo].[' + name + '] TO [用户名];' FROM sys.procedures WHERE type = 'P'; -- 仅限存储过程 ``` *操作步骤*: 1. 执行上述语句生成授权命令集 2. 复制输出结果批量执行 > **适用场景**:新用户授权或权限批量迁移[^3]。 #### 🚫 三、权限限制最佳实践 1. **最小权限原则** ```sql -- 先收回所有表权限 REVOKE ALL ON DATABASE::[数据库名] FROM [用户名]; -- 仅授予存储过程执行权 GRANT EXECUTE TO [用户名]; ``` 2. **防御性授权**(防止直接操作表): ```sql -- 拒绝用户直接修改表 DENY INSERT, UPDATE, DELETE ON [dbo].[敏感表] TO [用户名]; ``` > **原理**:通过存储过程封装高危操作(如`TRUNCATE TABLE`),避免直接授予`ALTER TABLE`等宽泛权限[^2]。 #### 🔐 四、权限验证方法 ```sql -- 查看用户权限 EXEC sp_helprotect @username = '用户名'; ``` 输出结果需包含: ``` 授予者 被授予者 类型 权限 对象 dbo 用户名 GRANT EXECUTE dbo.存储过程名 ``` #### ⚠️ 五、关键注意事项 1. **所有权链要求** 存储过程与操作对象需属同一所有者,否则需单独授予底层对象权限 2. **动态SQL特殊授权** 若存储过程含`EXECUTE('SQL命令')`,需额外授予`VIEW DEFINITION`权限 3. **跨数据库调用** 跨库操作需开启`TRUSTWORTHY`属性或配置证书签名 --- ### 常见问题场景 1. **用户有执行权限但仍报错** 🔍 检查存储过程内部引用的表/视图权限(尤其所有权链断裂时) 2. **批量授权遗漏新存储过程** ⚙️ 创建DDL触发器自动授权新存储过程: ```sql CREATE TRIGGER AutoGrantSP ON DATABASE FOR CREATE_PROCEDURE AS EXEC('GRANT EXECUTE ON ' + EVENTDATA().value('(/EVENT_INSTANCE/ObjectName)[1]', 'sysname') + ' TO [用户名]') ``` --- ### 📚 相关延展问题 1. 如何实现存储过程执行的审计跟踪? 2. 所有权链断裂时如何配置跨架构权限? 3. 存储过程加密(`WITH ENCRYPTION`)后如何授权? 4. 如何限制用户查看存储过程定义? 5. 服务帐户执行存储过程需哪些特殊权限? > **安全提示**:定期审计权限分配状态`SELECT * FROM sys.database_permissions`[^5],避免权限泛滥[^1][^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值