Oracle的虚拟私有数据库特性(也称作细颗粒度存取控制)对诸如SELECT等数据管理语言DML语句提供行级安全性检查PL/SQL策略函数和某个数据表相关联这个函数可以检查当前用户的上下文背景并添加查询中WHERE语句的条件(断言)一个用户或者应用可以这样来写
SELECT * FROM employees;
但是实际上oracle将会执行这样的语句
SELECT * FROM employees
WHERE department_id = ;
因此只有在查寻范围之内的行(在department数据表中的前行)才会被查询语句返回利用oracle g中的新选项可以让oracle返回所有行而不仅仅是被授权的行然而未被授权行中包含的某些列(称为安全相关列)将显示NULL来代替实际数据而其它的列值将会正常显示
要想使用列值掩码必须在虚拟私有数据库策略中做两件事
首先必须创建一个列级策略来设计某些列为安全相关列其次必须在查询中包含ALL_ROWS选项以用来返回所有行这两个参数的结合就可以实现列值掩码
列表A显示了一个称为rls_dept的策略函数它返回断言department_id=用来设定对于EMPLOYEES表中行之内的department字段(实际上这个函数并不返回一个静态表它可以确定当前用户是谁并据此返回给该用户正确的部门值)
列表B显示了如何应用列表A中的函数创建列值掩码在DBMS_RLS包中的过程ADD_POLICY创建一个称为restrict_dept_policy的新策略参数sec_relevant_cols表明字段salary和commission_pct是安全相关列一个包含上述两个字段的查询将会应用到该策略函数不包含的查询就不会应用该策略最后参数sec_relevant_cols_opts设定为常量ALL_ROWS
列值掩码应用于SELECT语句无论哪个客户访问数据库都可以实施列值掩码诸如SQL *PlusNET应用或者其它工具
CREATE OR REPLACE
FUNCTION rls_dept (obj_owner IN VARCHAR obj_name IN VARCHAR)
RETURN VARCHAR
AS
predicate VARCHAR ();
BEGIN
predicate := department_id = ;
RETURN (predicate);
END rls_dept;
/
BEGIN
DBMS_RLSADD_POLICY(object_schema=>HR
object_name=>EMPLOYEES
policy_name=>restrict_dept_policy
function_schema=>HR
policy_function=>rls_dept
sec_relevant_cols=>salarycommission_pct
sec_relevant_cols_opt=>dbms_rlsALL_ROWS);
END;
/