[pgsql-jp: 38060] Re: Advisory on possibly insecure security definer functions
Hiroki Kataoka
kataoka @ interwiz.jp
2007年 2月 21日 (水) 12:14:45 JST
片岡です。
ISHIDA Akio wrote:
> こんにちは。石田@苫小牧市です。
> アドバイザリの内容は、SECURITY DEFINERを指定した
> pl/pgsql等の関数では、必ず set search_pathを明示的に
> 指定しましょうというものです。
>
> 但し、石井さんの記事にもあるようにSQL関数に関しては
> set search_pathによる対応はできません。
> SECURITY DEFINERが必要なSQL関数があれば、
> pl/pgsqlで書き直してしまうのが良いと思います。
スキーマが重要な場合には、単に“スキーマ名.オブジェクト名”で指定すれば
いいと思います。
> # search_pathを元に戻さなきゃなならいんですね、、、
そうなんです。だからアドバイザリを見たとき「それはいまいちじゃない?」
と真っ先に感じましたし、もしかして勝手に戻るのかと思って試してしまいまし
た。(^_^;
--
Hiroki Kataoka <kataoka @ interwiz.jp>
pgsql-jp メーリングリストの案内