Oracle 安全程序

Question

在甲骨文中， - 我想确保触发器的所有者必须与表所有者匹配。 - 观点也应该受到限制。用户不能查询系统视图和表。

Answer 1

通常，只有表的所有者才有权限在其上创建触发器。 DBA 可能拥有 CREATE ANY TRIGGER 的权限，但是保护数据库免受 DBA 的攻击是完全不同的问题。

有许多系统视图（例如 USER_TABLES、ALL_USERS）您无法撤销其访问权限，但它们只会显示用户已被授予访问权限的内容。同样，DBA 将有权访问前缀为 DBA_ 的视图和前缀为 V$ 的“视图”（这有点奇怪，因为它们显示有关数据库的操作信息，而不是存储在磁盘上任何位置的数据）和 SYS 拥有的表。

Answer 2

您到底想要完成什么？
通常，我们创建仅允许访问应用程序表和视图的角色。
应用程序的所有者向这些角色授予权限，并且
这些角色已授予您的用户。
只要表的所有者仅具有常规的“create xxx”权限，就不用担心。通常我们需要访问一些系统表和视图。

您想隐藏什么数据？大多数视图所揭示的内容并不多于应用程序已知的内容。

不要向任何人授予“xxxx ANY”权限。大多数时候，请求这些权限是因为懒惰。很少需要它们。

罗纳德.