Для тех кто не понял поясню. В 4.0 собираются внедрить возможность с какими правами выполнять PSQL модули. Варианта 2:
SQL SECURITY DEFINER - с правами определяющего (владельца) + права модуля
SQL SECURITY INVOKER - с правами вызывающего пользователя + права модуля
По умолчанию будет SQL SECURITY INVOKER чтобы сохранять обратную совместимость. Эта фича во многих случаях поможет избежать утомительного процесса выдачи прав процедуре и т.д.
Вот как это выглядит для процедур:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
create procedure sql security definer (id integer)
returns (name varchar(35))
as
begin
select name
from color
where id = :id
into name;
suspend;
end
Сейчас это сделано для процедур, функций, триггеров и таблиц (потому что вычисляемые поля).
Настала очередь пакетов.
Роман предлагает вариант 3. Т.е. примерно так:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
roman:bin$ ./isql -e -i ~/prj/testgen/sql/pk47.sql
Use CONNECT or CREATE DATABASE to specify a database
create database 'localhost:/tmp/47.fdb';
create or alter user us password 'pas';
create table t (i integer);
set term ^;
create package pk
as
begin
function f sql security definer (i integer) returns int;
end^
create package body pk
as
begin
function f sql security definer (i integer) returns int
as
begin
insert into t values (:i);
return i + 1;
end
end^
set term ;^
grant execute on package pk to user us;
commit;
connect 'localhost:/tmp/47.fdb' user us password 'pas';
select pk.f(3) from rdb$database;
roman:bin$ ./isql -e -i ~/prj/testgen/sql/pk48.sql
Use CONNECT or CREATE DATABASE to specify a database
create database 'localhost:/tmp/48.fdb';
create or alter user us password 'pas';
create table t (i integer);
set term ^;
create package pk
as
begin
function f sql security invoker (i integer) returns int;
end^
create package body pk
as
begin
function f sql security invoker (i integer) returns int
as
begin
insert into t values (:i);
return i + 1;
end
end^
set term ;^
grant execute on package pk to user us;
commit;
connect 'localhost:/tmp/48.fdb' user us password 'pas';
select pk.f(3) from rdb$database;
Statement failed, SQLSTATE = 28000
no permission for INSERT access to TABLE T
Напомню что процедуры и функции пакетов не обладают индивидуальными правами. Права можно дать только на пакет в целом и можно выдать права самому пакету. Поэтому мне ближе вариант 1. Т.е.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
set term ^;
create package sql security definer pk
as
begin
function f (i integer) returns int;
end^
create package body pk
as
begin
function f (i integer) returns int
as
begin
insert into t values (:i);
return i + 1;
end
end^
А что думаете вы?
