Код: Выделить всё
WITH OWNERACCESS OPTION
WITH OWNERACCESS OPTION
В чужой базе на ACCESS в конце запроса увидел такую директиву:
Что она означает?
-
Naeel Maqsudov
- Сообщения: 2570
- Зарегистрирован: 20 фев 2004, 19:17
- Откуда: Moscow, Russia
- Контактная информация:
В конструкторе запросов откройте окно свойств запроса и найдите свойство "При запуске предоставлять права" = пользователя/владельца.
При значении "владельца" в тело запроса добавляется эта строка.
Суть в том, что SQL-запрос, на запуск которого пользователь имеет права, может выполнять действия фактически запрещенные данному пользователю. Например пользователю можно запретить удалять записи, но разрешить запускать запрос, который это делает. Так вот, такой запрос должен быть WITH OWNERACCESS OPTION.
Разумеется это не будет дыркой в безопасности, если данный пользователь не имеет привилегии создавать запросы.
Подробнее смортите контекстную справку по названному выше свойству запроса, а также Сервис/Защита/Разрешения.
Аккаунты с правами доступа берутся из текущего (или указанного в соответсвующем параметре командной строки) файле рабочей группы (.mdw).
Перед созданием новой базы всегда предпочтительно создавать файл рабочей группы (см утилиту Wrkgadm.exe), создать в нем группы пользователей и аккаунты, и зайти в Access с использованием этой рабочей группы и другого аккаунта (не Admin). У стандартных пользователей и групп ВСЕ права лучше отобрать. Тогда даже при подмене файла рабочей группы никто базу несанкцированно не откроет.
При значении "владельца" в тело запроса добавляется эта строка.
Суть в том, что SQL-запрос, на запуск которого пользователь имеет права, может выполнять действия фактически запрещенные данному пользователю. Например пользователю можно запретить удалять записи, но разрешить запускать запрос, который это делает. Так вот, такой запрос должен быть WITH OWNERACCESS OPTION.
Разумеется это не будет дыркой в безопасности, если данный пользователь не имеет привилегии создавать запросы.
Подробнее смортите контекстную справку по названному выше свойству запроса, а также Сервис/Защита/Разрешения.
Аккаунты с правами доступа берутся из текущего (или указанного в соответсвующем параметре командной строки) файле рабочей группы (.mdw).
Перед созданием новой базы всегда предпочтительно создавать файл рабочей группы (см утилиту Wrkgadm.exe), создать в нем группы пользователей и аккаунты, и зайти в Access с использованием этой рабочей группы и другого аккаунта (не Admin). У стандартных пользователей и групп ВСЕ права лучше отобрать. Тогда даже при подмене файла рабочей группы никто базу несанкцированно не откроет.