O7_DICTIONARY_ACCESSIBILTY

Oracle——“O7_DICTIONARY_ACCESSIBILTY”（字典保护机制）

一、概念

Oracle8i及更高版本，O7_DICTIONARY_ACCESSIBILITY初始化参数控制对系统特权的限制，默认值为 “false”，如果将该参数设置成 “true”，则允许访问SYS用户下的对象（就是普通用户都可以随意访问数据字典），由于ANY权限应用于数据字典，因此具有任何权限的恶意用户都可以查询或更改数据字典表。

二、设置

设置O7_DICTIONARY_ACCESSIBILTY初始化参数的两种方法：
1、在initSID.ora文件中对其修改；
2、使用sys用户或者sysdba用户登录sqlplus（前提是你已经使用了了spfile启动数据库实例）

#开启：
ALTER SYSTEM SET O7_DICTIONARY_ACCESSIBILITY = TRUE SCOPE = SPFILE;
#关闭：
ALTER SYSTEM SET O7_DICTIONARY_ACCESSIBILITY = FALSE SCOPE = SPFILE;

查看状态

SQL> show parameter o7; NAME                          TYPE     VALUE
---------------------------- ----------- ------------------------------
O7_DICTIONARY_ACCESSIBILITY    boolean   FALSE
SQL>

SYS用户必须使用SYSDBA或SYSOPER权限登录；否则将引发ORA-28009:connection as SYS should be as SYSDBA or SYSOPER错误。如果将O7_DICTIONARY_ACCESSIBILITY设置为TRUE，则可以作为用户SYS登录数据库，而无需指定SYSDBA或SYSOPER权限。

三、普通用户访问数据字典

对其他用户提供对象的访问权限的系统权限，不授予其他用户对SYS用户下对象的访问权限。
例如：select any table权限允许用户访问其他用户下的视图和表，但不允许用户选择数据字典对象（动态性能视图、常规视图、包和同义词的基表），但是可以通过授予这些用户显式对象权限，以访问SYS用户下的对象。

数据库中允许访问SYS用户对象的角色：

Role(角色)	Description(描述)
SELECT_CATALOG_ROLE	授予此角色以允许用户`SELECT`数据字典视图的权限
EXECUTE_CATALOG_ROLE	授予此角色以允许用户对数据字典中的包和过程`EXECUTE`权限
DELETE_CATALOG_ROLE	授予此角色以允许用户从系统审核表SYS.AUD$ 和SYS.FGA_LOG$中删除记录

此外，可以向需要访问SYS用户中创建的表的用户授予select any dictionary系统特权。此系统权限允许对SYS用户中的任何对象进行查询访问，包括在该用户中创建的表。它必须单独授予每个需要特权的用户。它不包括在“GRANT ALL PRIVILEGES”中，但可以通过角色授予它。
注意：一定要非常小心谨慎地授予这些角色SELECT ANY DICTIONARY系统特权，因为它们的滥用可能会损害系统的完整性。

#将role(角色)授予用户
grant role to user;#将role(角色)从用户中回收
revoke role from user;示例：
SQL> grant SELECT_CATALOG_ROLE  to nice;Grant succeeded.SQL> revoke SELECT_CATALOG_ROLE  from nice;Revoke succeeded.

四、可以授予或撤销系统特权的用户

只有两种类型的用户可以向其他用户授予系统特权或从其他用户撤消这些特权：

1、通过以下方式被授予特定系统特权的用户DMIN OPTION

2、具有系统特权的用户GRANT ANY PRIVILEGE

所以只能将这些特权授予受信任的用户，权限乱用会造成非常严重的后果。

至此结束，有什么问题欢迎留言，谢谢。