Oracle的虛擬私有數(shù)據(jù)庫(kù)特性（也稱作細(xì)顆粒度存取控制）對(duì)諸如SELECT等數(shù)據(jù)管理語(yǔ)言DML語(yǔ)句提供行級(jí)安全性檢查。PL/SQL策略函數(shù)和某個(gè)數(shù)據(jù)表相關(guān)聯(lián)，這個(gè)函數(shù)可以檢查當(dāng)前用戶的上下文背景并添加查詢中WHERE語(yǔ)句的條件（斷言），一個(gè)用戶或者應(yīng)用可以這樣來(lái)寫：

SELECT * FROM employees;

但是實(shí)際上oracle將會(huì)執(zhí)行這樣的語(yǔ)句：

SELECT * FROM employees

WHERE department_id = 60;

因此，只有在查尋范圍之內(nèi)的行（在department數(shù)據(jù)表中的前60行）才會(huì)被查詢語(yǔ)句返回。利用oracle 10g中的新選項(xiàng)可以讓oracle返回所有行，而不僅僅是被授權(quán)的行。然而，未被授權(quán)行中包含的某些列（稱為安全相關(guān)列）將顯示NULL來(lái)代替實(shí)際數(shù)據(jù)，而其它的列值將會(huì)正常顯示。

要想使用列值掩碼必須在虛擬私有數(shù)據(jù)庫(kù)策略中做兩件事。

首先必須創(chuàng)建一個(gè)列級(jí)策略來(lái)設(shè)計(jì)某些列為安全相關(guān)列.其次必須在查詢中包含ALL_ROWS選項(xiàng)以用來(lái)返回所有行。這兩個(gè)參數(shù)的結(jié)合就可以實(shí)現(xiàn)列值掩碼。

列表A顯示了一個(gè)稱為rls_dept的策略函數(shù)。它返回?cái)嘌浴癲epartment_id=60”，用來(lái)設(shè)定對(duì)于EMPLOYEES表中60行之內(nèi)的department字段。（實(shí)際上，這個(gè)函數(shù)并不返回一個(gè)靜態(tài)表，它可以確定當(dāng)前用戶是誰(shuí)，并據(jù)此返回給該用戶正確的部門值。）

列表B顯示了如何應(yīng)用列表A中的函數(shù)創(chuàng)建列值掩碼。在DBMS_RLS包中的過(guò)程ADD_POLICY創(chuàng)建一個(gè)稱為restrict_dept_policy的新策略。參數(shù)sec_relevant_cols表明字段salary和commission_pct是安全相關(guān)列。一個(gè)包含上述兩個(gè)字段的查詢將會(huì)應(yīng)用到該策略函數(shù)，不包含的查詢就不會(huì)應(yīng)用該策略。最后，參數(shù)sec_relevant_cols_opts設(shè)定為常量ALL_ROWS。

列值掩碼應(yīng)用于SELECT語(yǔ)句，無(wú)論哪個(gè)客戶訪問(wèn)數(shù)據(jù)庫(kù)都可以實(shí)施列值掩碼，諸如SQL *Plus、.NET應(yīng)用或者其它工具。

列表A：

CREATE OR REPLACE

FUNCTION rls_dept (obj_owner IN VARCHAR2, obj_name IN VARCHAR2)

RETURN VARCHAR2

AS

predicate

VARCHAR2 (200);

BEGIN

predicate := 'department_id = 60';

RETURN (predicate);

END rls_dept;

/

列表B：

BEGIN

DBMS_RLS.ADD_POLICY(object_schema=>'HR',

object_name=>'EMPLOYEES',

policy_name=>'restrict_dept_policy',

function_schema=>'HR',

policy_function=>'rls_dept',

sec_relevant_cols=>'salary,commission_pct',

sec_relevant_cols_opt=>dbms_rls.ALL_ROWS);

END;

/

更多信息請(qǐng)查看IT技術(shù)專欄