Início / dba / Perguntas / 394
Accepted
TML
Asked: 2011-01-08 08:44:52 +0800 CST

Quais mecanismos de banco de dados me permitirão GRANT/REVOKE em uma coluna específica?

  • 772

Se eu tiver uma tabela com uma única coluna de dados confidenciais e quiser conceder amplo uso da tabela sem expor essa coluna, sei que posso criar uma VIEW que forneça acesso a todas as colunas não confidenciais. No entanto, o PostgreSQL permite que você conceda permissões em nível de coluna na forma de

grant select (col1, ...coln) on table to role;

Existem outros motores que fornecem essa capacidade?

database-recommendation feature-comparison

6 respostas

  1. SQL Server 2000, 2005, 2008 tem esta capacidade

    GRANT { ALL [ PRIVILEGES ] }
       | permission [ ( column [ ,...n ] ) ] [ ,...n ]
       [ ON [ class :: ] securable ] TO principal [ ,...n ] 
       [ WITH GRANT OPTION ] [ AS principal ]

    ADICIONADO

    No SQL Server 2005, 2008 é possível criptografar uma coluna de dados usando criptografia simétrica , consulte B.Criptografia simétrica que inclui um autenticador . Esta variante retorna um valor NULL, como se a chave errada fosse usada .

    • 8
  2. Best Answer

    Este é um recurso padrão do SQL. A "maioria" das implementações de SQL o suporta, incluindo PostgreSQL, MySQL, Oracle, DB2, SQL Server.

    • 5

  3. No Oracle, isso é chamado de mascaramento de coluna .

    • 3

  4. Como o @igor disse, o SQL Server tem essa capacidade. Eu penso nos tempos do Sybase, ou seja, na versão 4.2. Tenho certeza que mais tarde (talvez SQL-Server 7.0) ouvi recomendações para não usar esse recurso, mas para usar exibições ou procedimentos armazenados,

    • 1

  5. O MySQL também pode executar GRANTs e REVOKEs em privilégios de coluna.

    Na verdade, mysql.columns_priv e information_schema.COLUMN_PRIVILEGES contêm esses privilégios nesse nível.

    mysql> show create table mysql.columns_priv\G
    * ** * ** * ** * ** * 1. row * ** * ** * ** * ** *
    Tabela: column_priv
    Criar tabela: CREATE TABLE columns_priv(
    Hostchar( 60) COLLATE utf8_bin NOT NULL DEFAULT '',
    Dbchar(64) COLLATE utf8_bin NOT NULL DEFAULT '',
    Userchar(16) COLLATE utf8_bin NOT NULL DEFAULT '',
    Table_namechar(64) COLLATE utf8_bin NOT NULL DEFAULT '',
    Column_namechar(64) COLLATE utf8_bin NOT NULL DEFAULT '',
    Timestamptimestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
    Column_privset('Selecionar','Inserir','Atualizar','Referências') CHARACTER SET utf8 NOT NULL DEFAULT '',
    PRIMARY KEY ( Host, Db, User, Table_name, Column_name)
    ) ENGINE=MyISAM DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT='Coluna privilégios'

    mysql> show create table information_schema.column_privileges\G
    * ** * ** * ** * ** * 1. row * ** * ** * ** * ** *
    Table: COLUMN_PRIVILEGES
    Create Table: CREATE TEMPORARY TABLE COLUMN_PRIVILEGES(
    GRANTEEvarchar (81) NOT NULL DEFAULT '',
    TABLE_CATALOGvarchar(512) NOT NULL DEFAULT '',
    TABLE_SCHEMAvarchar(64) NOT NULL DEFAULT '',
    TABLE_NAMEvarchar(64) NOT NULL DEFAULT '',
    COLUMN_NAMEvarchar(64) NOT NULL DEFAULT '',
    PRIVILEGE_TYPEvarchar (64) NOT NULL DEFAULT '',
    IS_GRANTABLEvarchar(3) NOT NULL DEFAULT ''
    ) ENGINE=MEMORY DEFAULT CHARSET=utf8

    • 1

  6. Eu pensei que isso geralmente era feito criando uma exibição e concedendo seleção na exibição.

    Pelo que me lembro, a questão mais difícil está relacionada a se é possível conceder inserção e/ou atualização na exibição de maneira significativa. (Obviamente, a exibição deve ter todas as colunas necessárias para manter as restrições de integridade referencial no esquema da tabela subjacente).

    No entanto, tudo isso é acadêmico para mim. Eu adoraria ler alguns detalhes de pessoas que usaram visualizações para gerenciar o acesso de inserção/atualização a um subconjunto de colunas usando uma visualização... ou como vários fornecedores implementam essas concessões de acesso colunar.

    • 0

relate perguntas