在简历中,对于Postgresql：

1-正在访问表的视图将覆盖表权限

2-视图访问功能,需要在检查之前评估所有功能 – 因此必须在访问视图之前执行这些功能,即使视图没有选择权限……

我们怎么能证明这一点？

在postgresql中,即使用户没有此权限,视图也能为您提供在表中执行选择的权限.

例如：

create view view2 as select * from table1;
revoke all on table1 from user1;
grant select on view2 to user1;

以用户1身份登录：

select * from table1 (permission denied) 
select * from view2 (sucess - the query executes)

在这种情况下,即使没有选择表的权限,用户也可以选择view2.

但是如果我们用函数做同样的事情呢？行为是不一样的.让我们创建一个在返回1之前等待5秒的函数(所以我们可以调试,如果postgresql每次调用视图时都运行该函数)

CREATE OR REPLACE FUNCTION something() RETURNS integer
AS 'select 1 from pg_sleep(5);'
LANGUAGE sql
IMMUTABLE
RETURNS NULL ON NULL INPUT; --this function will delay 5 seconds

create view view1 as select * from something();
revoke all on function something() from user1;
grant select on view1 to user1;

以用户1身份登录：

select * from something(); (permission denied for something) 
select * from view1 (permission denied for something )

在视图上执行选择的权限不会覆盖功能权限,如果我们从view1撤消权限,则更糟糕的是,该消息仍然显示postgresql由于该功能而停止了我们的查询,无论视图的权限是什么. (这正是问题中发生的事情)

但是这个功能真的先被检查了吗？如果我们给该函数赋予’all’权限,但撤销视图权限…

grant all on function something to user1; 
revoke all on view1 from user1; 
select * from view1;
Delayed 5 seconds... (the function executed!) 
Permission denied for select on view1

正如你看到postgresql WAITED 5 SECONDS之前说我们没有输出视图的权限,表明执行了“something()”函数.因此在检查视图之前必须存在函数数据返回.

所以现在通过这些测试,我们现在知道Postgresql需要在继续我们的查询之前首先评估所有函数,就像查询在所有涉及的函数完全完成之前仍然不存在,所以视图不能解决为postgresql到知道我们是否有权选择它.

我认为这可以用“权限顺序”的方式回答你的问题,但是为什么postgresql需要在继续之前评估所有的功能,那就是另一个问题……