impossible de modifier les données d'une vue

lepierot · 07/11/2007, 14h06

Bonjour,
j'ai créé une vue sur une table, et avec toad je ne peux pas modifier les données. Les zones de saisie de Toad semble comme blockées !!!

orafrance · 07/11/2007, 14h08

on ne peut pas updater une vue... une vue c'est qu'une requête SQL stockée en base et exécuté à chaque SELECT de la vue, comment Oracle pourrait-il mettre à jour des données non stockées ?

lepierot · 07/11/2007, 14h50

Pas du tout, dans certain cas on peut modifier une vue :

faite le test suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
SQL> CREATE TABLE MARKETING.AA
  2  (
  3      NOM    VARCHAR2(15)     NULL,
  4      PRENOM VARCHAR2(15)     NULL
  5  )
  6  /
 
TABLE crÚÚe.
 
SQL> CREATE OR REPLACE VIEW MARKETING.VUE_AA
  2  (
  3      NOM,
  4      PRENOM
  5  )
  6  AS
  7  SELECT "NOM","PRENOM"
  8        FROM aa
  9  /
 
Vue crÚÚe.
 
SQL> INSERT INTO AA (nom,prenom) VALUES ('tigger','scott');
 
1 ligne crÚÚe.
 
SQL> commit
  2  ;
 
Validation effectuÚe.
 
SQL> INSERT INTO vue_AA (nom,prenom) VALUES ('tigger2','scott2');
 
1 ligne crÚÚe.
 
SQL> commit
  2  ;
 
Validation effectuÚe.
 
SQL>

Avec SQLPLUS et avec ACCESS en attachement ODBC ca marche parfaitement, c'est juste que peut etre Toad bride la chose !!!!

orafrance · 07/11/2007, 14h55

oui bien sûr, j'ai pas voulu compliqué la chose étant donné que faire un update d'une vue me parait particulièrement être une mauvaise pratique

Pour préciser ce que j'ai dit : on ne peut mettre à jour qu'une vue simple, qui ne contient pas calcul, ni de transformation, ni de jointure, etc...

PS : merci de penser aux balises CODE

laurentschneider · 30/11/2007, 12h36

Citation:

Envoyé par orafrance

un update d'une vue me parait particulièrement être une mauvaise pratique

non, ce n'est pas une mauvaise pratique. C'est aussi une façon de restreindre l'accès à seulement certaines colonnes ou lignes de la tables, style BLAKE ne peut mettre à jour que sa ligne et ne voit que certaines colonnes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
SQL> CREATE VIEW v AS 
  SELECT ENAME, DNAME, JOB, EXTRACT(YEAR FROM HIREDATE) HIREDATE 
  FROM EMP NATURAL JOIN DEPT WHERE ename=user WITH CHECK OPTION;
 
VIEW created.
 
SQL> GRANT SELECT ON v TO blake;
 
GRANT succeeded.
 
SQL>  GRANT UPDATE (job) ON v TO blake;
 
GRANT succeeded.
 
SQL> conn BLAKE/PAPER
SQL> SELECT * FROM scott.v;
ENAME      DNAME          JOB         HIREDATE
---------- -------------- --------- ----------
BLAKE      SALES          MANAGER         1981
 
SQL> UPDATE scott.v SET job='PRESIDENT';
 
1 row updated.
 
SQL> roll
Rollback complete.

Avec Toad, je peux très bien mettre à jour ma vue.

Cependant, comme mentionné par orafrance, de nombreuses conditions rendent la vue inéditable.

LeoAnderson · 30/11/2007, 12h55

c'est sûr mais le FGA me semble plus approprié et plus propre qu'une vue pour ça, non ?

laurentschneider · 30/11/2007, 13h19

tu veux dire RLS ?

Row-Level Security (ou Fain Grained Access Control) est disponible avec la version Enterprise et permet d'implémenter la VPD (Virtual Private Database). L'API est DBMS_RLS

FGA c'est l'abréviation de Fain Grained Auditting, avec l'api DBMS_FGA, et ça permet de faire un audit de manière plus élaborée que AUDIT SELECT, car même le SELECT exécuté peut être capturé.

Je pense que d'avoir un role UPDATE sur une vue est tout à fait acceptable. Pas forcément besoin de définir des polices avec DBMS_RLS, ou bien?

J'attends tes commentaires

orafrance · 30/11/2007, 13h31

Citation:

Envoyé par laurentschneider

C'est aussi une façon de restreindre l'accès à seulement certaines colonnes ou lignes de la tables, style BLAKE ne peut mettre à jour que sa ligne et ne voit que certaines colonnes

il y a la VPD pour ça

laurentschneider · 30/11/2007, 14h37

Oui, je ne dis pas que je suis un grand fan des vues (ni lecture-seule ni lecture-écriture), mais si on employe des vues, on peut aussi bien les employer pour l'écriture que la lecture, non?

Bon, si tu ne veux pas qu'on mette à jour tes vues, créée les read-only

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
SQL> CREATE VIEW v AS SELECT ename FROM emp WITH READ only;
 
VIEW created.

orafrance · 30/11/2007, 15h16

le problème de l'écriture dans les vues c'est qu'il y a une grosse faille qui peut permettre de modifier des données via la vue même si le user n'a pas les droits sur la table

laurentschneider · 30/11/2007, 15h40

1) tu dois avoir les droits sur la vue pour modifier la vue
2) si la vue t'appartient, alors tu ne peux pas modifier la table. Il y avait effectivement un bug qui est fixé depuis quelques années qui permettait d'effacer le contenu d'une table avec seulement les privilège "SELECT" et "CREATE VIEW".

Il ne faut pas donner CREATE VIEW à un utilisateur final, mais créer des vues avec des droits sur la vue et non sur la table ne me pose personnellement pas de problème.

Je trouve que ça augmente la sécurité plus que ça ne la diminue (tu peux masquer certaines colonnes)

07/11/2007, 14h06	#1
lepierot Invité de passage Inscription : mai 2006 Messages : 12 Détails du profil Informations forums : Inscription : mai 2006 Messages : 12 Points : 3 Points : 3	impossible de modifier les données d'une vue Bonjour, j'ai créé une vue sur une table, et avec toad je ne peux pas modifier les données. Les zones de saisie de Toad semble comme blockées !!!
	00

07/11/2007, 14h08	#2
orafrance Rédacteur/Modérateur Inscription : janvier 2004 Messages : 15 861 Détails du profil Informations personnelles : Âge : 35 Informations forums : Inscription : janvier 2004 Messages : 15 861 Points : 16 212 Points : 16 212	on ne peut pas updater une vue... une vue c'est qu'une requête SQL stockée en base et exécuté à chaque SELECT de la vue, comment Oracle pourrait-il mettre à jour des données non stockées ? __________________ Règles et liens du forum Oracle Guide Oracle Pense-bête du DBA Oracle : Exemple
	00

07/11/2007, 14h55	#4
orafrance Rédacteur/Modérateur Inscription : janvier 2004 Messages : 15 861 Détails du profil Informations personnelles : Âge : 35 Informations forums : Inscription : janvier 2004 Messages : 15 861 Points : 16 212 Points : 16 212	oui bien sûr, j'ai pas voulu compliqué la chose étant donné que faire un update d'une vue me parait particulièrement être une mauvaise pratique Pour préciser ce que j'ai dit : on ne peut mettre à jour qu'une vue simple, qui ne contient pas calcul, ni de transformation, ni de jointure, etc... PS : merci de penser aux balises CODE __________________ Règles et liens du forum Oracle Guide Oracle Pense-bête du DBA Oracle : Exemple
	00

30/11/2007, 13h19	#7
laurentschneider Expert Confirmé Sénior Laurent Schneider Administrateur de base de données Inscription : décembre 2005 Messages : 2 927 Détails du profil Informations personnelles : Nom : Laurent Schneider Localisation : Suisse Informations professionnelles : Activité : Administrateur de base de données Secteur : Finance Informations forums : Inscription : décembre 2005 Messages : 2 927 Points : 4 549 Points : 4 549	tu veux dire RLS ? Row-Level Security (ou Fain Grained Access Control) est disponible avec la version Enterprise et permet d'implémenter la VPD (Virtual Private Database). L'API est DBMS_RLS FGA c'est l'abréviation de Fain Grained Auditting, avec l'api DBMS_FGA, et ça permet de faire un audit de manière plus élaborée que AUDIT SELECT, car même le SELECT exécuté peut être capturé. Je pense que d'avoir un role UPDATE sur une vue est tout à fait acceptable. Pas forcément besoin de définir des polices avec DBMS_RLS, ou bien? J'attends tes commentaires __________________ Mon blog : laurentschneider.com Mon livre : Advanced Oracle SQL Programming
	00

30/11/2007, 15h16	#10
orafrance Rédacteur/Modérateur Inscription : janvier 2004 Messages : 15 861 Détails du profil Informations personnelles : Âge : 35 Informations forums : Inscription : janvier 2004 Messages : 15 861 Points : 16 212 Points : 16 212	le problème de l'écriture dans les vues c'est qu'il y a une grosse faille qui peut permettre de modifier des données via la vue même si le user n'a pas les droits sur la table __________________ Règles et liens du forum Oracle Guide Oracle Pense-bête du DBA Oracle : Exemple
	00

30/11/2007, 12h55	#6
LeoAnderson Expert Confirmé Inscription : septembre 2004 Messages : 2 942 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 2 942 Points : 2 972 Points : 2 972	c'est sûr mais le FGA me semble plus approprié et plus propre qu'une vue pour ça, non ?
	00

30/11/2007, 15h40	#11
laurentschneider Expert Confirmé Sénior Laurent Schneider Administrateur de base de données Inscription : décembre 2005 Messages : 2 927 Détails du profil Informations personnelles : Nom : Laurent Schneider Localisation : Suisse Informations professionnelles : Activité : Administrateur de base de données Secteur : Finance Informations forums : Inscription : décembre 2005 Messages : 2 927 Points : 4 549 Points : 4 549	1) tu dois avoir les droits sur la vue pour modifier la vue 2) si la vue t'appartient, alors tu ne peux pas modifier la table. Il y avait effectivement un bug qui est fixé depuis quelques années qui permettait d'effacer le contenu d'une table avec seulement les privilège "SELECT" et "CREATE VIEW". Il ne faut pas donner CREATE VIEW à un utilisateur final, mais créer des vues avec des droits sur la vue et non sur la table ne me pose personnellement pas de problème. Je trouve que ça augmente la sécurité plus que ça ne la diminue (tu peux masquer certaines colonnes) __________________ Mon blog : laurentschneider.com Mon livre : Advanced Oracle SQL Programming
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email