Права на выполнение команд SQL

Предоставление прав

Для управления разрешением пользователя на доступ к объектам базы данных используется команда:

<предоставление_привилегий>::=

GRANT { ALL [ PRIVILEGES] | <привилегия>

[,...n]}

{ [( имя_столбца [,...n])]

ON { имя_таблицы |

имя_просмотра} |

ON {имя_таблицы |

имя_просмотра }

([имя_столбца

[,...n])]

| ON {имя_хранимой_процедуры |

имя_внешней_процедуры}}

TO { имя_пользователя | имя_группы |

имя_роли} [,...n]

[WITH GRANT OPTION ]

[AS {имя_группы | имя_роли }]

Параметр <привилегия> представляет собой следующую конструкцию:

<привилегия>::=

{SELECT | DELETE | INSERT |

UPDATE | EXECUTE | REFERENCES }

Параметр WITH GRANT OPTION поможет пользователю, которому вы предоставляете права, назначить права на доступ к объекту другим пользователям. Его использование требует особой осторожности, поскольку при этом владелец теряет контроль над предоставлением прав на доступ другим пользователям. Лучше всего ограничить кругпользователей, обладающих возможностью управлять назначением прав.

Необязательный параметр AS {имя_группы | имя_роли } позволяет указать участие пользователя в роли, обеспечивающей предоставление прав другим пользователям.

Единственное право доступа, которое может быть предоставлено для хранимой процедуры, – право на ее выполнение ( EXECUTE ). Естественно, кроме этого владелецхранимой процедуры может просматривать и изменять ее код.

Для функции можно выдать право на ее выполнение, а кроме того, выдать право REFERENCES, что обеспечит возможность связывания функции с объектами, на которые она ссылается. Такое связывание позволит запретить внесение изменений в структуру объектов, способных привести к нарушению работы функции.

Этот класс прав контролирует возможность создания объектов в базе данных, самой базы данных и выполнения процедуры резервного копирования. Можно использовать следующую команду для предоставления права на выполнение команд SQL:

<предоставление_права_выполнения>::=

GRANT {ALL | <команда>[,...n]}

TO {имя_пользователя | имя_группы |

имя_роли} [,...n]

Параметр <команда> представляет собой следующую конструкцию:

<команда>::=

{CREATE DATABASE | CREATE TABLE |

CREATE VIEW | CREATE DEFAULT |

CREATE RULE | CREATE PROCEDURE

| BACKUP DATABASE |

BACKUP LOG | ALL }

Таким образом, можно предоставить право на создание базы данных, таблицы, просмотра, умолчания, правила, хранимой процедуры, резервной копии базы данных и журнала транзакций или предоставить сразу все вышеперечисленные права.