ReSQL.ru
     
powered by simpleCommunicator - 2.0.60     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / PostgreSQL [игнор отключен] [закрыт для гостей] / Каскадирование прав
9 сообщений из 9, страница 1 из 1
Каскадирование прав
    #34219709
Vladimir Kozlov
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Vladimir Kozlov
Участник
Если я даю группе права на выполнение процедуры, а эта процедура внутри себя апдейтит/инсертит таблицу - должен ли я в явном виде дать этой группе права на апдейт/инсерт таблицы?

И если да - есть ли возможность автоматически сделать эскалацию прав без ручного шастания по таблицам?
...
Рейтинг: 0 / 0
22.12.2006, 17:54
| Ответить | Цитировать | Написать  
Каскадирование прав
    #34219739
st_serg
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
st_serg
Участник
doc
CREATE [ OR REPLACE ] FUNCTION
...
| [ EXTERNAL ] SECURITY INVOKER | [ EXTERNAL ] SECURITY DEFINER
...

?
...
Рейтинг: 0 / 0
22.12.2006, 18:08
| Ответить | Цитировать | Написать  
Каскадирование прав
    #34219763
Vladimir Kozlov
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Vladimir Kozlov
Участник
st_serg doc
CREATE [ OR REPLACE ] FUNCTION
...
| [ EXTERNAL ] SECURITY INVOKER | [ EXTERNAL ] SECURITY DEFINER
...

?

Я в постгресе ламер. В T-SQL и W/SQL я давал права на процедуру и сервер сам понимал что я хочу. Читал доку - не осилил. По рабоче-крестьянски, в чем суть SECURITY INVOKER / DEFINER ?


И еще. OID есть а в метаданных депенденсов как у Firebird я не нашел. Это так и задумано?
...
Рейтинг: 0 / 0
22.12.2006, 18:17
| Ответить | Цитировать | Написать  
Каскадирование прав
    #34219775
Vladimir Kozlov
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Vladimir Kozlov
Участник
Читаю доку:

SECURITY INVOKER indicates that the function is to be executed with the privileges of the user that calls it. That is the default. SECURITY DEFINER specifies that the function is to be executed with the privileges of the user that created it.


Но это какая-то непонятка... мне нужна простая вещь - если функция пихает запись в таблицу, и если у юзера я В ЯВНОМ ВИДЕ не забрал права на инсерт в эту таблицу - она должна без необходимости выдачи прав запись заинсертить. А по логике SECURITY DEFINER - оно от прав владельца выполнится...
...
Рейтинг: 0 / 0
22.12.2006, 18:21
| Ответить | Цитировать | Написать  
Каскадирование прав
    #34219817
st_serg
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
st_serg
Участник
SECURITY DEFINER specifies that the function is to be executed with the privileges of the user that created it.
SECURITY DEFINER указывает на то, что функция будет выполняться с правами пользователя создавшего эту функцию.
Т.е. если мы создадим из-под user1 таблицу и функцию с SECURITY DEFINER, которая будет инсертить данные в эту таблицу, после чего, дадим право пользователю user2 выполнять эту функцию, то данные будуд без проблем вставлены в таблицу без явного выделения прав user2 на insert
...
Рейтинг: 0 / 0
22.12.2006, 18:37
| Ответить | Цитировать | Написать  
Каскадирование прав
    #34219818
Jelis
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Jelis
Гость
Функция запускаеться с правами запустившего. Поэтому на таблицы с которыми работает функция надо ставить права отдельно. С точки зрения безопасности так оно и должно быть, а не иначе :-)
...
Рейтинг: 0 / 0
22.12.2006, 18:37
| Ответить | Цитировать | Написать  
Каскадирование прав
    #34219824
st_serg
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
st_serg
Участник
JelisФункция запускаеться с правами запустившего. Поэтому на таблицы с которыми работает функция надо ставить права отдельно. С точки зрения безопасности так оно и должно быть, а не иначе :-)
видимо в oracle давно положил на безопастность, ведь там по-умолчанию функции/процедуры работают с правами definer'а

ps. есть еще камни под водой с областью видимости, если используется security invoker
...
Рейтинг: 0 / 0
22.12.2006, 18:40
| Ответить | Цитировать | Написать  
Каскадирование прав
    #34219825
Jelis
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Jelis
Гость
JelisФункция запускаеться с правами запустившего. Поэтому на таблицы с которыми работает функция надо ставить права отдельно. С точки зрения безопасности так оно и должно быть, а не иначе :-)

Ну или использовать SECURITY DEFINER само сабой. Тока это, имхо, лучше использовать и исключительных случаях, когда это в самом деле надо.
...
Рейтинг: 0 / 0
22.12.2006, 18:41
| Ответить | Цитировать | Написать  
Каскадирование прав
    #34219834
Jelis
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Jelis
Гость
st_serg JelisФункция запускаеться с правами запустившего. Поэтому на таблицы с которыми работает функция надо ставить права отдельно. С точки зрения безопасности так оно и должно быть, а не иначе :-)
видимо в oracle давно положил на безопастность, ведь там по-умолчанию функции/процедуры работают с правами definer'а

ps. есть еще камни под водой с областью видимости, если используется security invoker

Видимо положил :-) Хотя, думаю, там какие-то еще механизмы дополнительные используються (не селен я в оракле). В том же Unix'e от suidных программ всеми силами пытаються избавиться. Правда, PLSQL это не C.
...
Рейтинг: 0 / 0
22.12.2006, 18:44
| Ответить | Цитировать | Написать  
9 сообщений из 9, страница 1 из 1
Форумы / PostgreSQL [игнор отключен] [закрыт для гостей] / Каскадирование прав
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]