3

我正在 postgreSQL 中部署一个数据库,并创建了一个能够执行某些功能的用户。

我撤销了刚刚创建的用户的所有权限,并授予执行连接权限:

REVOKE ALL PRIVILEGES ON DATABASE <database> FROM my_user;
REVOKE ALL PRIVILEGES ON SCHEMA public TO my_user;
GRANT CONNECT ON DATABASE <database> TO my_user;

但是当我用这个用户连接到数据库时,我能够读取所有的表结构和所有的函数源代码。有没有办法对这个用户隐藏它?

我借此机会提出另一个问题:我只想对这个用户执行功能(可能包括对数据库表的选择、插入或更新),但我不想授予对表的选择、更新或删除权限。我正在使用“SECURITY DEFINER”,然后我批准执行,但我认为它可能有点不安全。我对吗?还有其他方法吗?

提前致谢。拉米斯

4

2 回答 2

4

无法在 PostgreSQL 中对用户隐藏系统目录。如果用户无法访问目录,则他们无法找到任何其他数据库对象。

如果你真的不能让他们看到数据库的结构,你需要阻止他们连接。使用调用数据库的简单 API 构建某种中间层。

SECURITY DEFINER 是在更高权限级别提供有限访问的标准方法。但是,您必须小心可能以动态查询结尾的任何函数参数。不过,这与任何动态 sql 构建都存在相同的“bobby 表”问题。

于 2013-07-11T17:04:20.437 回答
0

怎么样

REVOKE SELECT ON pg_namespace FROM my_user;
REVOKE SELECT ON pg_catalog.pg_database FROM my_user;

您将看不到任何内容,但如果您知道命名空间和表名,您将能够进行查询。

于 2021-05-05T09:14:00.540 回答