基本上,我希望能够使用
REVOKEUPDATEDELETE我的触发器对新插入的行执行,并更新特定字段。所以我仍然想要这种行为,但是它们不会被
REVOKERULE有没有办法继续使用
UPDATEINSERTTRIGGERS是的,这是可能的。
触发器以触发器函数在创建时的权限运行,默认为
SECURITY INVOKERcurrent_user请注意,仅在触发器创建时检查函数本身的权限。参见:
如果当前用户没有您的触发器函数所操作的表所需的权限,则您在基础表中的原始操作将出错。
SECURITY DEFINEROWNER如果您有一个超级用户拥有触发功能,它可以做一切 - 这是一个潜在的安全隐患。请考虑手册中关于“编写
SECURITY DEFINEROWNER。您可以创建一个无需登录的“守护进程”角色来充当权限包。仅向此守护进程角色授予所需的权限(关于架构、表、序列...)。对于更复杂的设计,将权限捆绑在“组角色”(同样,无需登录)中,并将这些组角色授予需要它的角色(本例中的守护进程角色),从而有效地使它们成为“组的成员”。我经常这样做。