通過定義者角色權限在PL/SQL過程中執行動態DDL

Question

我想在管理員用戶擁有的過程中執行一些動態DDL。我想用具有定義權限的技術操作用戶執行此過程（操作用戶不具有create table角色）。

問題是'創建表'權限授予管理員用戶通過使用角色，它不允許我執行DDL，因爲它似乎角色不計入命名的PL/SQL塊。

create or replace 
PROCEDURE test_permissions AUTHID DEFINER AS 
    v_query_string VARCHAR2(400 CHAR) := 'CREATE TABLE TEST(abcd VARCHAR2(200 CHAR))'; 
BEGIN 

    EXECUTE IMMEDIATE v_query_string; 

END; 

我試了一下：

• 運行從上PROC設置驗證ID定義與AUTHID CURRENT_USER函數的程序（希望這個函數將級聯莫名其妙的定義者）
• 把一個匿名塊內部執行DDL的函數（作爲角色似乎在匿名塊中計數）

如果我將AUTHID設置爲CURRENT_USER，則可以執行proc與管理員用戶正確配對。

有沒有什麼辦法可以解決這個問題而不直接授予管理員用戶的CREATE TABLE？

Answer 1

只能設置一個PL/SQL存儲過程/函數中的作用，如果它有調用者權限（AUTHID CURRENT_USER）(see doc)。這意味着您不能使用ops_user調用admin_user的過程，然後訪問admin_user的角色。如果你的數據庫管理員堅持使用角色來控制CREATE TABLE特權，這裏是我以前見過的方法：

create or replace package admin_user.role_test authid current_user is 
    procedure test_permissions; 
end role_test; 
/
create or replace package body admin_user.role_test is 
    procedure test_permissions is 
     v_query_string VARCHAR2(400 CHAR) := 'begin 
dbms_output.put_line(''after''); 
for r in (select role from session_roles) loop 
    dbms_output.put_line(r.role); 
end loop; 
end;'; 
    begin 
     dbms_output.put_line('before'); 
     for r in (select role from session_roles) loop 
      dbms_output.put_line(r.role); 
     end loop; 
     DBMS_SESSION.SET_ROLE('CREATE_TABLE_ROLE IDENTIFIED BY "SECRET_PASSWORD"'); 
     execute immediate v_query_string; 
     DBMS_SESSION.SET_ROLE('ALL EXCEPT CREATE_TABLE_ROLE'); -- restore defaults 
    end; 
end role_test; 
/
grant execute on admin_user.role_test to ops_user; 

這將暫時角色授予ops_user只是執行代碼。默認情況下，ops_user不應該能夠查看admin_user的包體源。你可能會包裝包體以進一步保護密碼。但是，除了密碼安全之外，我最關心的這種方法是，Oracle不提供禁用單個角色的好方法，所以如果ops_user具有其他密碼保護角色，則此代碼可能會在嘗試恢復時引發ORA-01979他們。

所以，有一個答案，但我仍然建議做其他評論者的建議，並授予管理員用戶CREATE TABLE。