Logique ou pas logique ? Telle est la question

Milo59000 · 20/06/2008, 11h19

Bonjour à tous,

Un développeur rencontre un problème très étrange...

Il crée une procédure avec l'utilisateur TOTO dans le shéma de TOTO.

Dans sa procédure il réalise des traitements, crée un directory, donne les droits à public (READ et WRITE), puis veux créer sa table externe tout ca en SQL dynamique (execute immediate). Pour information les ordres sont tous corrects !

Le problème rencontré se trouve au niveau du :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

EXECUTE IMMEDIATE 'CREATE TABLE... ORGANIZATION EXTERNAL...'

Oracle lui retourne l'erreur droits insuffisant. De ce fait on a testé dans une fenêtre SQL*Plus hors de la procédure et le code marche, la table externe est créée et on y accède normalement.

Donc on retourne dans notre procédure, on regarde le propriétaire les droits etc... tous est correct, TOTO a sa procédure stockée dans son schéma, la table doit être crée dans son schéma avec les bons droits.

Du coup, je me suis dis tentons le AUTHID CURRENT_USER et là, ca marche...

Incompréhensible... TOTO lance une procédure qui lui appartient qui crée un objet dans son schéma et on est obligé de lui dire de le faire avec ses droits.

Est-ce un bug ?

Oracle 10g

Michel SALAIS · 20/06/2008, 12h08

Non ce n'est pas un bug et sensé fonctionner ainsi au moins à partir d'Oracle 8i pour le propriétaire de la procédure et depuis Oracle 7 pour les autres ...

Le point clé est l'acquisition des droits à travers des rôles sachant que les rôles ne sont pas utilisables lors de l'exécution des traitements stockés créés avec la clause "authid definer"

pifor · 20/06/2008, 13h41

Les rôles peuvent bien être activés dans du PL/SQL stocké avec la clause AUTHID CURRENT_USER et l'utilisation de EXECUTE IMMEDIATE si on utilise le DBMS_SESSION.SET_ROLE d'après le Security Guide.

Milo59000 · 20/06/2008, 14h34

Si je comprends bien, je crée une procedure comme cela dans le schéma TOTO :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
CREATE OR REPLACE PROCEDURE test IS ....
execute immediate 'CREATE TABLE .... '
END;

La table créée le sera dans le schéma TOTO.

Mon utilisateur TOTO possède juste le rôle dev (sans parler des privilèges et rôles de connection). Le rôle dev a comme privilège : CREATE TABLE, ALTER TABLE, etc...

Si TOTO lance la procédure test, celle-ci va s'exécuter mais SANS prendre en compte le rôle de dev ? Et pour qu'il active le rôle, je dois l'activer avec la clause AUTHID CURRENT_USER (j'ai pas encore regardé le DBMS_SESSION.SET_ROLE) ?

Par contre si mon utilisateur TOTO possède DIRECTEMENT le privilège CREATE TABLE et qu'il lance la procédure qui ne contient pas le AUTHID CURRENT_USER, celle-ci fonctionnera et la table sera créée.

Est-ce bien cela ?

Pomalaix · 20/06/2008, 23h03

Citation:

Envoyé par Milo59000

Du coup, je me suis dis tentons le AUTHID CURRENT_USER et là, ca marche...

Mff, ça m'inquiète de lire des choses comme ça, et ça me fait penser à ceux qui bricolent avec les transactions autonomes en croyant faussement que ça résoudra leur problème de table en mutation !

Dans un cas comme dans l'autre, il s'agit de ne pas se focaliser sur un effet secondaire arrangeant, en oubliant l'effet principal de la technique, qui lui a de fortes chances d'être fonctionnellement inadapté ou indésirable.

La vocation du mode AUTHID CURRENT_USER est de permettre la mise en commun d'une procédure que l'on veut pouvoir faire tourner sur plusieurs schémas différents, possédant un même jeu de tables.
En effet, une procédure AUTHID CURRENT_USER sera exécutée avec les droits de celui qui l'appelle, et les objets manipulés par la procédure seront recherchés dans le schéma de l'exécutant (et non dans le schéma du propriétaire de la procédure comme c'est le cas par défaut).

Le fait que les rôles soient activés en mode CURRENT_USER n'est qu'un effet secondaire, et il ne doit en aucun cas justifier à lui seul l'usage de ce mode.

Si l'accès aux données se fait exclusivement sous le nom du propriétaire des objets (on se connecte comme TOTO pour manipuler les objets de TOTO), l'usage injustifié du CURRENT_USER peut passer inaperçu et donner momentanément satisfaction. (Il provoquerait une légère dégradation des performances, dont je ne connais pas l'ampleur.)
Mais le mode CURRENT_USER constituera un véritable champ de mines, si d'aventure les accès se font par un compte distinct de celui du propriétaire des objets.

20/06/2008, 11h19	#1
Milo59000 Membre actif Étudiant Inscription : février 2008 Messages : 224 Détails du profil Informations personnelles : Âge : 27 Localisation : France, Nord (Nord Pas de Calais) Informations professionnelles : Activité : Étudiant Informations forums : Inscription : février 2008 Messages : 224 Points : 185 Points : 185	Logique ou pas logique ? Telle est la question Bonjour à tous, Un développeur rencontre un problème très étrange... Il crée une procédure avec l'utilisateur TOTO dans le shéma de TOTO. Dans sa procédure il réalise des traitements, crée un directory, donne les droits à public (READ et WRITE), puis veux créer sa table externe tout ca en SQL dynamique (execute immediate). Pour information les ordres sont tous corrects ! Le problème rencontré se trouve au niveau du : Code : Sélectionner tout - Visualiser dans une fenêtre à part EXECUTE IMMEDIATE 'CREATE TABLE... ORGANIZATION EXTERNAL...' Oracle lui retourne l'erreur droits insuffisant. De ce fait on a testé dans une fenêtre SQL*Plus hors de la procédure et le code marche, la table externe est créée et on y accède normalement. Donc on retourne dans notre procédure, on regarde le propriétaire les droits etc... tous est correct, TOTO a sa procédure stockée dans son schéma, la table doit être crée dans son schéma avec les bons droits. Du coup, je me suis dis tentons le AUTHID CURRENT_USER et là, ca marche... Incompréhensible... TOTO lance une procédure qui lui appartient qui crée un objet dans son schéma et on est obligé de lui dire de le faire avec ses droits. Est-ce un bug ? Oracle 10g
	00

20/06/2008, 12h08	#2
Michel SALAIS Membre éprouvé Inscription : décembre 2007 Messages : 354 Détails du profil Informations personnelles : Localisation : France Informations forums : Inscription : décembre 2007 Messages : 354 Points : 408 Points : 408	Non ce n'est pas un bug et sensé fonctionner ainsi au moins à partir d'Oracle 8i pour le propriétaire de la procédure et depuis Oracle 7 pour les autres ... Le point clé est l'acquisition des droits à travers des rôles sachant que les rôles ne sont pas utilisables lors de l'exécution des traitements stockés créés avec la clause "authid definer" __________________ Consultant et formateur Oracle
	00

20/06/2008, 13h41	#3
pifor Expert Confirmé Inscription : février 2006 Messages : 3 433 Détails du profil Informations forums : Inscription : février 2006 Messages : 3 433 Points : 3 462 Points : 3 462	Les rôles peuvent bien être activés dans du PL/SQL stocké avec la clause AUTHID CURRENT_USER et l'utilisation de EXECUTE IMMEDIATE si on utilise le DBMS_SESSION.SET_ROLE d'après le Security Guide. __________________ P. Forstmann AskTom Forums OTN doc 8, 9, 10 et 11
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email