FW : [해커] 스포츠 토토 결과 : FW : PG_STATISTIC가 아닌 보안 구멍 - 솔루션 제안

참고 :
누군가가 이것을 두 번 받으면 사전에 사과합니다. 나는 어제 그것을 보냈다. 그리고
에테르로 사라진 것 같습니다. .

> 나는 가능한 타협을 생각했습니다. 베드로는 우리가 옳습니다
>에서 추출한 테이블 이름에서 케이스 변환을 원하지 마십시오
> 카탈로그. 그러나 나는 우리가 문자열로 표현 된 테이블 이름에 그것을 원한다고 생각합니다
> 리터럴. 카탈로그에서 테이블 이름을 가정 할 수 있습니까
> 유형 '이름'입니까? 그렇다면 두 가지 버전의를 만드는 것이 작동합니다.
> has_table_privilege 함수, 하나는 유형 "이름"이고 다른 하나는
> 유형 "텍스트" "이름"버전은 입력 as-is,를 취합니다.
> "텍스트"버전은 케이스 폴딩 및 잘림을 수행합니다. 이것은
> 시스템에서 관계 이름을 선택하는 쿼리에 대한 투명하게 작업
> 카탈로그, 그리고 표시되지 않은 쿼리에 대해서도 투명하게 작동합니다
> 문자열 리터럴 ( "텍스트"유형으로 우선적으로 해결됩니다)..
> 시스템이 잘못된 선택을하는 경우 최악의 경우
> 이름이나 텍스트에 대한 명시 적 강요. 댓글?

OK- 여기 #5를 가져 가라

현재 CVS 팁에 대해 "S"S를 만들고 "확인"을 청소합니다.

이제 텍스트와 이름 변형과 회귀 테스트 지원이 모두 있습니다
가 패치로 롤링됩니다. 완전한 WRT 이름 기반 변형이 되려면
현재 12 개의 사용자 가시 버전의 has_table_privilege가 있습니다 :

has_table_privilege (텍스트 usename, 텍스트 스포츠 토토 결과lname, text priv_type)
has_table_privilege (텍스트 유사 이름, 이름 스포츠 토토 결과lname, text priv_type)
has_table_privilege (이름 useename, text 스포츠 토토 결과lname, text priv_type)
has_table_privilege (이름 useename, name 스포츠 토토 결과lname, text priv_type)
has_table_privilege (텍스트 스포츠 토토 결과lname, text priv_type) / * cur스포츠 토토 결과nt_user를 가정합니다 * /
has_table_privilege (name 스포츠 토토 결과lname, text priv_type) / * cur스포츠 토토 결과nt_user를 가정합니다 * /
has_table_privilege (텍스트 useename, Oid 스포츠 토토 결과loid, Text priv_type)
has_table_privilege (이름 useename, Oid 스포츠 토토 결과loid, text priv_type)
has_table_privilege (OID 스포츠 토토 결과loid, text priv_type) / * cur스포츠 토토 결과nt_user를 가정합니다 * /
has_table_privilege (oid useysid, text 스포츠 토토 결과lname, text priv_type)
has_table_privilege (oid useysid, name 스포츠 토토 결과lname, text priv_type)
has_table_privilege (OID useySID, OID 스포츠 토토 결과loid, text priv_type)

텍스트 기반 입력의 경우 새로운 내부 기능이 사용됩니다

견적 또는 견적서 인용문을 제거하고 잘라. 나는 또한 몇 가지 테스트를 추가했습니다
다운 케이스, 견적 제거 및 이름 기반 변형에 대한 사례
회귀 테스트.

남은 유일한 것은 문서입니다. 나는 내가 가지고 있거나 할 수 있다고 확신한다
Docbook 도구를 얻었지만 사용한 적이 없습니다. 더 간단할까요
기존 문서 중 하나 클론 및 손 편집? 나를 얻는 제안
시작?

감사합니다

- Joe