Re: Security hole in PL/pgSQL

Поиск

Список

Период

Сортировка

От	Tom Lane
Тема	Re: Security hole in PL/pgSQL
Дата	29 января 2001 г. 14:03:24
Msg-id	24638.980783821@sss.pgh.pa.us обсуждение исходный текст
Ответ на	Security hole in PL/pgSQL (Jan Wieck <janwieck@Yahoo.com>)
Ответы	Re: Security hole in PL/pgSQL (Jan Wieck <janwieck@Yahoo.com>)
Список	pgsql-hackers

Дерево обсуждения

Jan Wieck <janwieck@Yahoo.com> writes:
>     the  new  EXECUTE  command  in  PL/pgSQL  is a security hole.
>     PL/pgSQL is  a  trusted  procedural  language,  meaning  that
>     regular  users  can  write  code  in it. With the new EXECUTE
>     command, someone could read and write arbitrary  files  under
>     the postgres UNIX-userid using the COPY command.

Huh?  This would only be true if all operations inside plpgsql are
executed as superuser, which they are not.  Seems to me the existing
defense against non-superuser using COPY is sufficient.
        regards, tom lane

В списке pgsql-hackers по дате отправления:

Предыдущее

От: Tom Lane
Дата: 29 января 2001 г., 13:03:46
Сообщение: Re: scan.l simplifications

Следующее

От: Tom Lane
Дата: 29 января 2001 г., 14:03:52
Сообщение: Re: [ANNOUNCE] PostgreSQL v7.1BETA4 Bundled and Available ...

Вход в личный кабинет

Восстановление пароля

Подтверждение аккаунта

Изменение пароля

Re: Security hole in PL/pgSQL

Предыдущее

Следующее