[pgsql-jp: 38060] Re: Advisory on possibly insecure security definer functions

[Hiroki Kataoka]

片岡です。

ISHIDA Akio wrote:
> こんにちは。石田@苫小牧市です。

> アドバイザリの内容は、SECURITY DEFINERを指定した
> pl/pgsql等の関数では、必ず set search_pathを明示的に
> 指定しましょうというものです。
> 
> 但し、石井さんの記事にもあるようにSQL関数に関しては
> set search_pathによる対応はできません。
> SECURITY DEFINERが必要なSQL関数があれば、
> pl/pgsqlで書き直してしまうのが良いと思います。

　スキーマが重要な場合には、単に“スキーマ名.オブジェクト名”で指定すれば
いいと思います。

> # search_pathを元に戻さなきゃなならいんですね、、、

　そうなんです。だからアドバイザリを見たとき「それはいまいちじゃない？」
と真っ先に感じましたし、もしかして勝手に戻るのかと思って試してしまいまし
た。(^_^;

-- 
Hiroki Kataoka <kataoka ＠ interwiz.jp>