В приложении есть генератор отчётов(Report Builder для Delphi), в нём пользователи могут менять SQL.
то, что там пропускаются штуки типа "drop table" - это полбеды. В конце концов можно не давать пользователю прав на такое. Но нельзя не давать прав на update. А с ним можно наделать делов не меньше:

Как бы запретить пользователю в определённых режимах делать что-то кроме SELECT, в рамках его привилегий?

Есть конечно вариант прикрутить какой-нибудь "проверяльщик SQL строки на безопасность". Если таковые есть - тоже вариант. Подскажите. Понятно, что DROP, CREATE, UPDATE и DELETE я сам могу выпилить, а какие ещё засады могут встретиться?

-2-Victor Cookin,

application roles

там одно. Делить нельзя (постановка новой версии в production - пара недель тестирования, постановка НОВОГО приложения - несколько лет...).

andrey_anonymous,

кажется вариант. Попробую.
Но проще было бы a la

andrey_anonymousдо ближайшего TCL.


то есть после любого коммита это свойство пропадёт? или что?

кит северных морей,
DDL как раз пользователям не разрешены. Конечно, если сам Report builder не делает коммитов, то это решило бы проблему. Но сдаётся мне, что делает.

andrey_anonymous"Все врут" (с)

Кто? Я сам DROP TABLE сделал из RB

andrey_anonymous,
А, понял. Я - НЕ пользователь. Захожу как владелец схемы