以另一个用户身份执行 Oracle 存储过程

Question

我主要是预言机新手，如果这是一个愚蠢的问题，请原谅我......

我有一个名为“CODE”的架构，其中包含一个执行任意 SQL 的存储过程（现在，请忽略与此相关的潜在安全问题）。传入的 SQL 会选择数据；但所有数据都驻留在架构 A、B 或 C 中 - 但 SQL 一次只能从一个架构中进行选择。

例如：A 类型的用户创建一个字符串“SELECT * FROM A.USERTABLE” - 而 B 类型的用户创建一个字符串“SELECT * FROM B.USERTABLE”。

我想要做的是允许用户不明确指定他们的架构。在前端 .net 应用程序中；我已经知道它们是类型 A、B 还是 C。我希望所有三个都简单地输入“SELECT * FROM USERTABLE”。

我遇到的问题是我不知道该怎么做。我的应用程序只能在“CODE”架构中执行 proc - 所以我不能只是复制代码并让用户 A 调用“A.ExecuteSQL”。

我已经尝试了一些东西；但到目前为止没有任何效果。我希望 ExecuteSQL 过程保留在 CODE 模式中；但是当 'USERTABLE' 被传入时，我需要它知道有时这意味着 A.USERNAME，有时意味着 B.USERNAME。

有什么建议吗？

Answer 1

用途：

ALTER SESSION SET CURRENT_SCHEMA = schema

那是equivalent to SQL Server's EXECUTE AS syntax。

Answer 2

另一个选项是使用 AUTHID CURRENT_USER pragma。

如果您在包、过程、函数或类型名称之后立即添加这两个关键字，它将以执行用户的权限执行，而不是 CODE 模式。这会覆盖默认行为，即 AUTHID DEFINER（编译代码的架构/用户的权限）

即

CREATE FUNCTION examplefunc
    (pSqlStatement IN VARCHAR2)
RETURN INTEGER
  AUTHID CURRENT_USER
AS 
   lResult INTEGER;
BEGIN
    EXECUTE IMMEDIATE pSqlStatement INTO lResult;
    RETURN lResult;
END examplefunc;

请注意，对于包内的函数和过程，pragma 只能在包级别应用。您不能基于每个功能设置权限。

这应该会导致函数、包等中的任何 SQL 以用户权限执行。

我用它来管理类似的“动态运行任何旧的 SQL”例程 - 至少您将阻止“普通”用户使用您的存储过程删除表或安装CODE 架构中的附加代码。

（如果您还没有这样做，也可能值得 - 添加一些验证以丢弃某些关键字 - 即必须以 SELECT 开头，不得包含嵌入的 pl/sql 块 - 在不破坏现有的情况下您可以摆脱代码）。