information schema и applicable_roles

[Naeel Maqsudov]

Привилегированный пользователь (SYSTEM) дает права…

Или пользователь, которому дали права на объект с опцией «with admin option». Т.е. разрешили ему распоряжаться правами на этот объект, хотя он не является owner-ом.

[SQL*Plus]

Привилегированный пользователь (SYSTEM) дает права…

Или пользователь, которому дали права на объект с опцией «with admin option».
Т.е. разрешили ему распоряжаться правами на этот объект, хотя он не является owner-ом.

Да, пользователь, получивший право на чужой объект "WITH GRANT OPTION",
мог передать это право другому пользователю или роли.

Но изначально объектную привилегию, в том числе "with grant option", мог предоставить только владелец объекта.

[Naeel Maqsudov]

Ну есть ещё идиотское «ANY» Тот кто получил права на ANY-таблицы с grat-опцией сможет раздавать что угодно кому угодно, даром что не своё

P.S.
ANY идиотское, потому что относится к объектам вообще всех схем, а права на любые объекты конкретной схемы в Oracle, в отличие от PG, никак нельзя обозначить.

[SQL*Plus]

Ну есть ещё идиотское «ANY»
Тот кто получил права на ANY-таблицы с graNt-опцией сможет раздавать что угодно кому угодно, даром что не своё

Не понял о чем идет речь.
Уточните, пожалуйста.

[Naeel Maqsudov]

Если у меня есть право `select any table with grant option`, то я по-видимому смогу сделать

grant select чужая_схема.чужая_таблица to кто_угодно

[SQL*Plus]

Если у меня есть право `select any table with grant option`, то я по-видимому смогу сделать

grant select чужая_схема.чужая_таблица to кто_угодно

SELECT ANY TABLE - это системная привилегия (не объектная).
Она может быть предоставлена WITH ADMIN OPTION, что даст право предоставлять эту системную привилегию "to кто_угодно".
Например:

Код: Выделить всё

GRANT select_any_table TO John_Doe;

Но на конкретные таблицы давать доступ эта системная привилегия прав не даёт.