Age Owner Branch data TLA Line data Source code
1 : : /*-------------------------------------------------------------------------
2 : : *
3 : : * aclchk.c
4 : : * Routines to check access control permissions.
5 : : *
6 : : * Portions Copyright (c) 1996-2026, PostgreSQL Global Development Group
7 : : * Portions Copyright (c) 1994, Regents of the University of California
8 : : *
9 : : *
10 : : * IDENTIFICATION
11 : : * src/backend/catalog/aclchk.c
12 : : *
13 : : * NOTES
14 : : * See acl.h.
15 : : *
16 : : * The xxx_aclmask() functions in this file are wrappers around
17 : : * acl.c's aclmask() function; see that for basic usage information.
18 : : * The wrapper functions add object-type-specific lookup capability.
19 : : * Generally, they will throw error if the object doesn't exist.
20 : : *
21 : : * The xxx_aclmask_ext() functions add the ability to not throw
22 : : * error if the object doesn't exist. If their "is_missing" argument
23 : : * isn't NULL, then when the object isn't found they will set
24 : : * *is_missing = true and return zero (no privileges) instead of
25 : : * throwing an error. Caller must initialize *is_missing = false.
26 : : *
27 : : * The xxx_aclcheck() functions are simplified wrappers around the
28 : : * corresponding xxx_aclmask() functions, simply returning ACLCHECK_OK
29 : : * if any of the privileges specified in "mode" are held, and otherwise
30 : : * a suitable error code (in practice, always ACLCHECK_NO_PRIV).
31 : : * Again, they will throw error if the object doesn't exist.
32 : : *
33 : : * The xxx_aclcheck_ext() functions add the ability to not throw
34 : : * error if the object doesn't exist. Their "is_missing" argument
35 : : * works similarly to the xxx_aclmask_ext() functions.
36 : : *
37 : : *-------------------------------------------------------------------------
38 : : */
39 : : #include "postgres.h"
40 : :
41 : : #include "access/genam.h"
42 : : #include "access/heapam.h"
43 : : #include "access/htup_details.h"
44 : : #include "access/sysattr.h"
45 : : #include "access/tableam.h"
46 : : #include "access/xact.h"
47 : : #include "catalog/binary_upgrade.h"
48 : : #include "catalog/catalog.h"
49 : : #include "catalog/dependency.h"
50 : : #include "catalog/indexing.h"
51 : : #include "catalog/objectaccess.h"
52 : : #include "catalog/pg_authid.h"
53 : : #include "catalog/pg_class.h"
54 : : #include "catalog/pg_database.h"
55 : : #include "catalog/pg_default_acl.h"
56 : : #include "catalog/pg_foreign_data_wrapper.h"
57 : : #include "catalog/pg_foreign_server.h"
58 : : #include "catalog/pg_init_privs.h"
59 : : #include "catalog/pg_language.h"
60 : : #include "catalog/pg_largeobject.h"
61 : : #include "catalog/pg_largeobject_metadata.h"
62 : : #include "catalog/pg_namespace.h"
63 : : #include "catalog/pg_parameter_acl.h"
64 : : #include "catalog/pg_proc.h"
65 : : #include "catalog/pg_tablespace.h"
66 : : #include "catalog/pg_type.h"
67 : : #include "commands/defrem.h"
68 : : #include "commands/event_trigger.h"
69 : : #include "commands/extension.h"
70 : : #include "commands/proclang.h"
71 : : #include "commands/tablespace.h"
72 : : #include "foreign/foreign.h"
73 : : #include "miscadmin.h"
74 : : #include "nodes/makefuncs.h"
75 : : #include "parser/parse_func.h"
76 : : #include "parser/parse_type.h"
77 : : #include "storage/lmgr.h"
78 : : #include "utils/acl.h"
79 : : #include "utils/aclchk_internal.h"
80 : : #include "utils/builtins.h"
81 : : #include "utils/fmgroids.h"
82 : : #include "utils/guc.h"
83 : : #include "utils/lsyscache.h"
84 : : #include "utils/rel.h"
85 : : #include "utils/syscache.h"
86 : :
87 : : /*
88 : : * Internal format used by ALTER DEFAULT PRIVILEGES.
89 : : */
90 : : typedef struct
91 : : {
92 : : Oid roleid; /* owning role */
93 : : Oid nspid; /* namespace, or InvalidOid if none */
94 : : /* remaining fields are same as in InternalGrant: */
95 : : bool is_grant;
96 : : ObjectType objtype;
97 : : bool all_privs;
98 : : AclMode privileges;
99 : : List *grantees;
100 : : bool grant_option;
101 : : RoleSpec *grantor;
102 : : DropBehavior behavior;
103 : : } InternalDefaultACL;
104 : :
105 : : /*
106 : : * When performing a binary-upgrade, pg_dump will call a function to set
107 : : * this variable to let us know that we need to populate the pg_init_privs
108 : : * table for the GRANT/REVOKE commands while this variable is set to true.
109 : : */
110 : : bool binary_upgrade_record_init_privs = false;
111 : :
112 : : static void ExecGrantStmt_oids(InternalGrant *istmt);
113 : : static void ExecGrant_Relation(InternalGrant *istmt);
114 : : static void ExecGrant_common(InternalGrant *istmt, Oid classid, AclMode default_privs,
115 : : void (*object_check) (InternalGrant *istmt, HeapTuple tuple));
116 : : static void ExecGrant_Language_check(InternalGrant *istmt, HeapTuple tuple);
117 : : static void ExecGrant_Largeobject(InternalGrant *istmt);
118 : : static void ExecGrant_Type_check(InternalGrant *istmt, HeapTuple tuple);
119 : : static void ExecGrant_Parameter(InternalGrant *istmt);
120 : :
121 : : static void SetDefaultACLsInSchemas(InternalDefaultACL *iacls, List *nspnames);
122 : : static void SetDefaultACL(InternalDefaultACL *iacls);
123 : :
124 : : static List *objectNamesToOids(ObjectType objtype, List *objnames,
125 : : bool is_grant);
126 : : static List *objectsInSchemaToOids(ObjectType objtype, List *nspnames);
127 : : static List *getRelationsInNamespace(Oid namespaceId, char relkind);
128 : : static void expand_col_privileges(List *colnames, Oid table_oid,
129 : : AclMode this_privileges,
130 : : AclMode *col_privileges,
131 : : int num_col_privileges);
132 : : static void expand_all_col_privileges(Oid table_oid, Form_pg_class classForm,
133 : : AclMode this_privileges,
134 : : AclMode *col_privileges,
135 : : int num_col_privileges);
136 : : static AclMode string_to_privilege(const char *privname);
137 : : static const char *privilege_to_string(AclMode privilege);
138 : : static AclMode restrict_and_check_grant(bool is_grant, AclMode avail_goptions,
139 : : bool all_privs, AclMode privileges,
140 : : Oid objectId, Oid grantorId,
141 : : ObjectType objtype, const char *objname,
142 : : AttrNumber att_number, const char *colname);
143 : : static AclMode pg_aclmask(ObjectType objtype, Oid object_oid, AttrNumber attnum,
144 : : Oid roleid, AclMode mask, AclMaskHow how);
145 : : static AclMode object_aclmask(Oid classid, Oid objectid, Oid roleid,
146 : : AclMode mask, AclMaskHow how);
147 : : static AclMode object_aclmask_ext(Oid classid, Oid objectid, Oid roleid,
148 : : AclMode mask, AclMaskHow how,
149 : : bool *is_missing);
150 : : static AclMode pg_attribute_aclmask(Oid table_oid, AttrNumber attnum,
151 : : Oid roleid, AclMode mask, AclMaskHow how);
152 : : static AclMode pg_attribute_aclmask_ext(Oid table_oid, AttrNumber attnum,
153 : : Oid roleid, AclMode mask,
154 : : AclMaskHow how, bool *is_missing);
155 : : static AclMode pg_class_aclmask_ext(Oid table_oid, Oid roleid,
156 : : AclMode mask, AclMaskHow how,
157 : : bool *is_missing);
158 : : static AclMode pg_parameter_acl_aclmask(Oid acl_oid, Oid roleid,
159 : : AclMode mask, AclMaskHow how);
160 : : static AclMode pg_largeobject_aclmask_snapshot(Oid lobj_oid, Oid roleid,
161 : : AclMode mask, AclMaskHow how, Snapshot snapshot);
162 : : static AclMode pg_namespace_aclmask_ext(Oid nsp_oid, Oid roleid,
163 : : AclMode mask, AclMaskHow how,
164 : : bool *is_missing);
165 : : static AclMode pg_type_aclmask_ext(Oid type_oid, Oid roleid,
166 : : AclMode mask, AclMaskHow how,
167 : : bool *is_missing);
168 : : static void recordExtensionInitPriv(Oid objoid, Oid classoid, int objsubid,
169 : : Acl *new_acl);
170 : : static void recordExtensionInitPrivWorker(Oid objoid, Oid classoid, int objsubid,
171 : : Acl *new_acl);
172 : :
173 : :
174 : : /*
175 : : * If is_grant is true, adds the given privileges for the list of
176 : : * grantees to the existing old_acl. If is_grant is false, the
177 : : * privileges for the given grantees are removed from old_acl.
178 : : *
179 : : * NB: the original old_acl is pfree'd.
180 : : */
181 : : static Acl *
8780 tgl@sss.pgh.pa.us 182 :CBC 40869 : merge_acl_with_grant(Acl *old_acl, bool is_grant,
183 : : bool grant_option, DropBehavior behavior,
184 : : List *grantees, AclMode privileges,
185 : : Oid grantorId, Oid ownerId)
186 : : {
187 : : unsigned modechg;
188 : : ListCell *j;
189 : : Acl *new_acl;
190 : :
191 [ + + ]: 40869 : modechg = is_grant ? ACL_MODECHG_ADD : ACL_MODECHG_DEL;
192 : :
8842 peter_e@gmx.net 193 : 40869 : new_acl = old_acl;
194 : :
195 [ + - + + : 81816 : foreach(j, grantees)
+ + ]
196 : : {
197 : : AclItem aclitem;
198 : : Acl *newer_acl;
199 : :
5077 bruce@momjian.us 200 : 40955 : aclitem.ai_grantee = lfirst_oid(j);
201 : :
202 : : /*
203 : : * Grant options can only be granted to individual roles, not PUBLIC.
204 : : * The reason is that if a user would re-grant a privilege that he
205 : : * held through PUBLIC, and later the user is removed, the situation
206 : : * is impossible to clean up.
207 : : */
7616 tgl@sss.pgh.pa.us 208 [ + + + + : 40955 : if (is_grant && grant_option && aclitem.ai_grantee == ACL_ID_PUBLIC)
- + ]
8324 tgl@sss.pgh.pa.us 209 [ # # ]:UBC 0 : ereport(ERROR,
210 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
211 : : errmsg("grant options can only be granted to roles")));
212 : :
5077 bruce@momjian.us 213 :CBC 40955 : aclitem.ai_grantor = grantorId;
214 : :
215 : : /*
216 : : * The asymmetry in the conditions here comes from the spec. In
217 : : * GRANT, the grant_option flag signals WITH GRANT OPTION, which means
218 : : * to grant both the basic privilege and its grant option. But in
219 : : * REVOKE, plain revoke revokes both the basic privilege and its grant
220 : : * option, while REVOKE GRANT OPTION revokes only the option.
221 : : */
7616 tgl@sss.pgh.pa.us 222 [ + + + + : 40955 : ACLITEM_SET_PRIVS_GOPTIONS(aclitem,
+ + + + ]
223 : : (is_grant || !grant_option) ? privileges : ACL_NO_RIGHTS,
224 : : (!is_grant || grant_option) ? privileges : ACL_NO_RIGHTS);
225 : :
226 : 40955 : newer_acl = aclupdate(new_acl, &aclitem, modechg, ownerId, behavior);
227 : :
228 : : /* avoid memory leak when there are many grantees */
8279 229 : 40947 : pfree(new_acl);
230 : 40947 : new_acl = newer_acl;
231 : : }
232 : :
8842 peter_e@gmx.net 233 : 40861 : return new_acl;
234 : : }
235 : :
236 : : /*
237 : : * Restrict the privileges to what we can actually grant, and emit
238 : : * the standards-mandated warning and error messages.
239 : : */
240 : : static AclMode
7460 alvherre@alvh.no-ip. 241 : 40724 : restrict_and_check_grant(bool is_grant, AclMode avail_goptions, bool all_privs,
242 : : AclMode privileges, Oid objectId, Oid grantorId,
243 : : ObjectType objtype, const char *objname,
244 : : AttrNumber att_number, const char *colname)
245 : : {
246 : : AclMode this_privileges;
247 : : AclMode whole_mask;
248 : :
3076 peter_e@gmx.net 249 [ + + + + : 40724 : switch (objtype)
+ + + + +
+ + - + +
- - ]
250 : : {
251 : 28114 : case OBJECT_COLUMN:
6312 tgl@sss.pgh.pa.us 252 : 28114 : whole_mask = ACL_ALL_RIGHTS_COLUMN;
253 : 28114 : break;
3076 peter_e@gmx.net 254 : 10919 : case OBJECT_TABLE:
7460 alvherre@alvh.no-ip. 255 : 10919 : whole_mask = ACL_ALL_RIGHTS_RELATION;
256 : 10919 : break;
3076 peter_e@gmx.net 257 : 116 : case OBJECT_SEQUENCE:
7409 bruce@momjian.us 258 : 116 : whole_mask = ACL_ALL_RIGHTS_SEQUENCE;
259 : 116 : break;
3076 peter_e@gmx.net 260 : 216 : case OBJECT_DATABASE:
7460 alvherre@alvh.no-ip. 261 : 216 : whole_mask = ACL_ALL_RIGHTS_DATABASE;
262 : 216 : break;
3076 peter_e@gmx.net 263 : 598 : case OBJECT_FUNCTION:
7460 alvherre@alvh.no-ip. 264 : 598 : whole_mask = ACL_ALL_RIGHTS_FUNCTION;
265 : 598 : break;
3076 peter_e@gmx.net 266 : 23 : case OBJECT_LANGUAGE:
7460 alvherre@alvh.no-ip. 267 : 23 : whole_mask = ACL_ALL_RIGHTS_LANGUAGE;
268 : 23 : break;
3076 peter_e@gmx.net 269 : 62 : case OBJECT_LARGEOBJECT:
5989 itagaki.takahiro@gma 270 : 62 : whole_mask = ACL_ALL_RIGHTS_LARGEOBJECT;
271 : 62 : break;
3076 peter_e@gmx.net 272 : 388 : case OBJECT_SCHEMA:
3128 273 : 388 : whole_mask = ACL_ALL_RIGHTS_SCHEMA;
7460 alvherre@alvh.no-ip. 274 : 388 : break;
3076 peter_e@gmx.net 275 : 3 : case OBJECT_TABLESPACE:
7460 alvherre@alvh.no-ip. 276 : 3 : whole_mask = ACL_ALL_RIGHTS_TABLESPACE;
277 : 3 : break;
3076 peter_e@gmx.net 278 : 61 : case OBJECT_FDW:
6346 279 : 61 : whole_mask = ACL_ALL_RIGHTS_FDW;
280 : 61 : break;
3076 281 : 73 : case OBJECT_FOREIGN_SERVER:
6346 282 : 73 : whole_mask = ACL_ALL_RIGHTS_FOREIGN_SERVER;
283 : 73 : break;
3076 peter_e@gmx.net 284 :UBC 0 : case OBJECT_EVENT_TRIGGER:
5039 rhaas@postgresql.org 285 [ # # ]: 0 : elog(ERROR, "grantable rights not supported for event triggers");
286 : : /* not reached, but keep compiler quiet */
287 : : return ACL_NO_RIGHTS;
3076 peter_e@gmx.net 288 :CBC 84 : case OBJECT_TYPE:
5250 289 : 84 : whole_mask = ACL_ALL_RIGHTS_TYPE;
290 : 84 : break;
1490 tgl@sss.pgh.pa.us 291 : 67 : case OBJECT_PARAMETER_ACL:
292 : 67 : whole_mask = ACL_ALL_RIGHTS_PARAMETER_ACL;
293 : 67 : break;
50 peter@eisentraut.org 294 :UNC 0 : case OBJECT_PROPGRAPH:
295 : 0 : whole_mask = ACL_ALL_RIGHTS_PROPGRAPH;
296 : 0 : break;
7460 alvherre@alvh.no-ip. 297 :UBC 0 : default:
3076 peter_e@gmx.net 298 [ # # ]: 0 : elog(ERROR, "unrecognized object type: %d", objtype);
299 : : /* not reached, but keep compiler quiet */
300 : : return ACL_NO_RIGHTS;
301 : : }
302 : :
303 : : /*
304 : : * If we found no grant options, consider whether to issue a hard error.
305 : : * Per spec, having any privilege at all on the object will get you by
306 : : * here.
307 : : */
7460 alvherre@alvh.no-ip. 308 [ + + ]:CBC 40724 : if (avail_goptions == ACL_NO_RIGHTS)
309 : : {
3076 peter_e@gmx.net 310 [ + + ]: 48 : if (pg_aclmask(objtype, objectId, att_number, grantorId,
7460 alvherre@alvh.no-ip. 311 : 48 : whole_mask | ACL_GRANT_OPTION_FOR(whole_mask),
312 : : ACLMASK_ANY) == ACL_NO_RIGHTS)
313 : : {
3076 peter_e@gmx.net 314 [ - + - - ]: 24 : if (objtype == OBJECT_COLUMN && colname)
3076 peter_e@gmx.net 315 :UBC 0 : aclcheck_error_col(ACLCHECK_NO_PRIV, objtype, objname, colname);
316 : : else
3076 peter_e@gmx.net 317 :CBC 24 : aclcheck_error(ACLCHECK_NO_PRIV, objtype, objname);
318 : : }
319 : : }
320 : :
321 : : /*
322 : : * Restrict the operation to what we can actually grant or revoke, and
323 : : * issue a warning if appropriate. (For REVOKE this isn't quite what the
324 : : * spec says to do: the spec seems to want a warning only if no privilege
325 : : * bits actually change in the ACL. In practice that behavior seems much
326 : : * too noisy, as well as inconsistent with the GRANT case.)
327 : : */
7460 alvherre@alvh.no-ip. 328 : 40700 : this_privileges = privileges & ACL_OPTION_TO_PRIVS(avail_goptions);
329 [ + + ]: 40700 : if (is_grant)
330 : : {
331 [ + + ]: 9851 : if (this_privileges == 0)
332 : : {
3076 peter_e@gmx.net 333 [ - + - - ]: 20 : if (objtype == OBJECT_COLUMN && colname)
5904 tgl@sss.pgh.pa.us 334 [ # # ]:UBC 0 : ereport(WARNING,
335 : : (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_GRANTED),
336 : : errmsg("no privileges were granted for column \"%s\" of relation \"%s\"",
337 : : colname, objname)));
338 : : else
5904 tgl@sss.pgh.pa.us 339 [ + - ]:CBC 20 : ereport(WARNING,
340 : : (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_GRANTED),
341 : : errmsg("no privileges were granted for \"%s\"",
342 : : objname)));
343 : : }
7460 alvherre@alvh.no-ip. 344 [ + + + + ]: 9831 : else if (!all_privs && this_privileges != privileges)
345 : : {
3076 peter_e@gmx.net 346 [ - + - - ]: 12 : if (objtype == OBJECT_COLUMN && colname)
5904 tgl@sss.pgh.pa.us 347 [ # # ]:UBC 0 : ereport(WARNING,
348 : : (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_GRANTED),
349 : : errmsg("not all privileges were granted for column \"%s\" of relation \"%s\"",
350 : : colname, objname)));
351 : : else
5904 tgl@sss.pgh.pa.us 352 [ + - ]:CBC 12 : ereport(WARNING,
353 : : (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_GRANTED),
354 : : errmsg("not all privileges were granted for \"%s\"",
355 : : objname)));
356 : : }
357 : : }
358 : : else
359 : : {
7460 alvherre@alvh.no-ip. 360 [ + + ]: 30849 : if (this_privileges == 0)
361 : : {
3076 peter_e@gmx.net 362 [ - + - - ]: 4 : if (objtype == OBJECT_COLUMN && colname)
5904 tgl@sss.pgh.pa.us 363 [ # # ]:UBC 0 : ereport(WARNING,
364 : : (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_REVOKED),
365 : : errmsg("no privileges could be revoked for column \"%s\" of relation \"%s\"",
366 : : colname, objname)));
367 : : else
5904 tgl@sss.pgh.pa.us 368 [ + - ]:CBC 4 : ereport(WARNING,
369 : : (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_REVOKED),
370 : : errmsg("no privileges could be revoked for \"%s\"",
371 : : objname)));
372 : : }
7460 alvherre@alvh.no-ip. 373 [ + + + + ]: 30845 : else if (!all_privs && this_privileges != privileges)
374 : : {
3076 peter_e@gmx.net 375 [ + + + - ]:GBC 56 : if (objtype == OBJECT_COLUMN && colname)
5904 tgl@sss.pgh.pa.us 376 [ + - ]: 48 : ereport(WARNING,
377 : : (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_REVOKED),
378 : : errmsg("not all privileges could be revoked for column \"%s\" of relation \"%s\"",
379 : : colname, objname)));
380 : : else
381 [ + - ]: 8 : ereport(WARNING,
382 : : (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_REVOKED),
383 : : errmsg("not all privileges could be revoked for \"%s\"",
384 : : objname)));
385 : : }
386 : : }
387 : :
7460 alvherre@alvh.no-ip. 388 :CBC 40700 : return this_privileges;
389 : : }
390 : :
391 : : /*
392 : : * Called to execute the utility commands GRANT and REVOKE
393 : : */
394 : : void
9096 peter_e@gmx.net 395 : 12658 : ExecuteGrantStmt(GrantStmt *stmt)
396 : : {
397 : : InternalGrant istmt;
398 : : ListCell *cell;
399 : : const char *errormsg;
400 : : AclMode all_privileges;
401 : :
402 : : /*
403 : : * Turn the regular GrantStmt into the InternalGrant form.
404 : : */
7460 alvherre@alvh.no-ip. 405 : 12658 : istmt.is_grant = stmt->is_grant;
406 : 12658 : istmt.objtype = stmt->objtype;
407 : :
408 : : /* Collect the OIDs of the target objects */
6049 tgl@sss.pgh.pa.us 409 [ + + - ]: 12658 : switch (stmt->targtype)
410 : : {
411 : 12637 : case ACL_TARGET_OBJECT:
1490 412 : 25253 : istmt.objects = objectNamesToOids(stmt->objtype, stmt->objects,
413 : 12637 : stmt->is_grant);
6049 414 : 12616 : break;
415 : 21 : case ACL_TARGET_ALL_IN_SCHEMA:
416 : 21 : istmt.objects = objectsInSchemaToOids(stmt->objtype, stmt->objects);
417 : 21 : break;
418 : : /* ACL_TARGET_DEFAULTS should not be seen here */
6049 tgl@sss.pgh.pa.us 419 :UBC 0 : default:
420 [ # # ]: 0 : elog(ERROR, "unrecognized GrantStmt.targtype: %d",
421 : : (int) stmt->targtype);
422 : : }
423 : :
424 : : /* all_privs to be filled below */
425 : : /* privileges to be filled below */
6312 tgl@sss.pgh.pa.us 426 :CBC 12637 : istmt.col_privs = NIL; /* may get filled below */
427 : 12637 : istmt.grantees = NIL; /* filled below */
7460 alvherre@alvh.no-ip. 428 : 12637 : istmt.grant_option = stmt->grant_option;
47 nathan@postgresql.or 429 :GNC 12637 : istmt.grantor = stmt->grantor;
7460 alvherre@alvh.no-ip. 430 :CBC 12637 : istmt.behavior = stmt->behavior;
431 : :
432 : : /*
433 : : * Convert the RoleSpec list into an Oid list. Note that at this point we
434 : : * insert an ACL_ID_PUBLIC into the list if appropriate, so downstream
435 : : * there shouldn't be any additional work needed to support this case.
436 : : */
7470 437 [ + - + + : 25336 : foreach(cell, stmt->grantees)
+ + ]
438 : : {
4000 bruce@momjian.us 439 : 12703 : RoleSpec *grantee = (RoleSpec *) lfirst(cell);
440 : : Oid grantee_uid;
441 : :
4075 alvherre@alvh.no-ip. 442 [ + + ]: 12703 : switch (grantee->roletype)
443 : : {
444 : 10518 : case ROLESPEC_PUBLIC:
445 : 10518 : grantee_uid = ACL_ID_PUBLIC;
446 : 10518 : break;
447 : 2185 : default:
3415 peter_e@gmx.net 448 : 2185 : grantee_uid = get_rolespec_oid(grantee, false);
4075 alvherre@alvh.no-ip. 449 : 2181 : break;
450 : : }
451 : 12699 : istmt.grantees = lappend_oid(istmt.grantees, grantee_uid);
452 : : }
453 : :
454 : : /*
455 : : * Convert stmt->privileges, a list of AccessPriv nodes, into an AclMode
456 : : * bitmask. Note: objtype can't be OBJECT_COLUMN.
457 : : */
8780 tgl@sss.pgh.pa.us 458 [ + + + + : 12633 : switch (stmt->objtype)
+ + + + +
+ + + + +
+ + - ]
459 : : {
3128 peter_e@gmx.net 460 : 11200 : case OBJECT_TABLE:
461 : :
462 : : /*
463 : : * Because this might be a sequence, we test both relation and
464 : : * sequence bits, and later do a more limited test when we know
465 : : * the object type.
466 : : */
7409 bruce@momjian.us 467 : 11200 : all_privileges = ACL_ALL_RIGHTS_RELATION | ACL_ALL_RIGHTS_SEQUENCE;
6616 tgl@sss.pgh.pa.us 468 : 11200 : errormsg = gettext_noop("invalid privilege type %s for relation");
7409 bruce@momjian.us 469 : 11200 : break;
3128 peter_e@gmx.net 470 : 14 : case OBJECT_SEQUENCE:
7409 bruce@momjian.us 471 : 14 : all_privileges = ACL_ALL_RIGHTS_SEQUENCE;
6616 tgl@sss.pgh.pa.us 472 : 14 : errormsg = gettext_noop("invalid privilege type %s for sequence");
8780 473 : 14 : break;
3128 peter_e@gmx.net 474 : 210 : case OBJECT_DATABASE:
7470 alvherre@alvh.no-ip. 475 : 210 : all_privileges = ACL_ALL_RIGHTS_DATABASE;
6616 tgl@sss.pgh.pa.us 476 : 210 : errormsg = gettext_noop("invalid privilege type %s for database");
8842 peter_e@gmx.net 477 : 210 : break;
3128 478 : 13 : case OBJECT_DOMAIN:
5250 479 : 13 : all_privileges = ACL_ALL_RIGHTS_TYPE;
480 : 13 : errormsg = gettext_noop("invalid privilege type %s for domain");
481 : 13 : break;
3128 482 : 524 : case OBJECT_FUNCTION:
7470 alvherre@alvh.no-ip. 483 : 524 : all_privileges = ACL_ALL_RIGHTS_FUNCTION;
6616 tgl@sss.pgh.pa.us 484 : 524 : errormsg = gettext_noop("invalid privilege type %s for function");
8842 peter_e@gmx.net 485 : 524 : break;
3128 486 : 27 : case OBJECT_LANGUAGE:
7470 alvherre@alvh.no-ip. 487 : 27 : all_privileges = ACL_ALL_RIGHTS_LANGUAGE;
6616 tgl@sss.pgh.pa.us 488 : 27 : errormsg = gettext_noop("invalid privilege type %s for language");
8780 489 : 27 : break;
3128 peter_e@gmx.net 490 : 50 : case OBJECT_LARGEOBJECT:
5989 itagaki.takahiro@gma 491 : 50 : all_privileges = ACL_ALL_RIGHTS_LARGEOBJECT;
492 : 50 : errormsg = gettext_noop("invalid privilege type %s for large object");
493 : 50 : break;
3128 peter_e@gmx.net 494 : 308 : case OBJECT_SCHEMA:
495 : 308 : all_privileges = ACL_ALL_RIGHTS_SCHEMA;
6616 tgl@sss.pgh.pa.us 496 : 308 : errormsg = gettext_noop("invalid privilege type %s for schema");
8842 peter_e@gmx.net 497 : 308 : break;
3128 498 : 32 : case OBJECT_PROCEDURE:
3078 499 : 32 : all_privileges = ACL_ALL_RIGHTS_FUNCTION;
500 : 32 : errormsg = gettext_noop("invalid privilege type %s for procedure");
501 : 32 : break;
3128 502 : 4 : case OBJECT_ROUTINE:
3078 503 : 4 : all_privileges = ACL_ALL_RIGHTS_FUNCTION;
504 : 4 : errormsg = gettext_noop("invalid privilege type %s for routine");
505 : 4 : break;
3128 506 : 3 : case OBJECT_TABLESPACE:
7470 alvherre@alvh.no-ip. 507 : 3 : all_privileges = ACL_ALL_RIGHTS_TABLESPACE;
6616 tgl@sss.pgh.pa.us 508 : 3 : errormsg = gettext_noop("invalid privilege type %s for tablespace");
7991 509 : 3 : break;
3128 peter_e@gmx.net 510 : 76 : case OBJECT_TYPE:
5250 511 : 76 : all_privileges = ACL_ALL_RIGHTS_TYPE;
512 : 76 : errormsg = gettext_noop("invalid privilege type %s for type");
513 : 76 : break;
3128 514 : 60 : case OBJECT_FDW:
6346 515 : 60 : all_privileges = ACL_ALL_RIGHTS_FDW;
516 : 60 : errormsg = gettext_noop("invalid privilege type %s for foreign-data wrapper");
517 : 60 : break;
3128 518 : 64 : case OBJECT_FOREIGN_SERVER:
6346 519 : 64 : all_privileges = ACL_ALL_RIGHTS_FOREIGN_SERVER;
520 : 64 : errormsg = gettext_noop("invalid privilege type %s for foreign server");
521 : 64 : break;
1490 tgl@sss.pgh.pa.us 522 : 36 : case OBJECT_PARAMETER_ACL:
523 : 36 : all_privileges = ACL_ALL_RIGHTS_PARAMETER_ACL;
524 : 36 : errormsg = gettext_noop("invalid privilege type %s for parameter");
525 : 36 : break;
50 peter@eisentraut.org 526 :GNC 12 : case OBJECT_PROPGRAPH:
527 : 12 : all_privileges = ACL_ALL_RIGHTS_PROPGRAPH;
528 : 12 : errormsg = gettext_noop("invalid privilege type %s for property graph");
529 : 12 : break;
8842 peter_e@gmx.net 530 :UBC 0 : default:
6056 tgl@sss.pgh.pa.us 531 [ # # ]: 0 : elog(ERROR, "unrecognized GrantStmt.objtype: %d",
532 : : (int) stmt->objtype);
533 : : /* keep compiler quiet */
534 : : all_privileges = ACL_NO_RIGHTS;
535 : : errormsg = NULL;
536 : : }
537 : :
7616 tgl@sss.pgh.pa.us 538 [ + + ]:CBC 12633 : if (stmt->privileges == NIL)
539 : : {
7460 alvherre@alvh.no-ip. 540 : 1655 : istmt.all_privs = true;
541 : :
542 : : /*
543 : : * will be turned into ACL_ALL_RIGHTS_* by the internal routines
544 : : * depending on the object type
545 : : */
546 : 1655 : istmt.privileges = ACL_NO_RIGHTS;
547 : : }
548 : : else
549 : : {
550 : 10978 : istmt.all_privs = false;
551 : 10978 : istmt.privileges = ACL_NO_RIGHTS;
552 : :
7470 553 [ + - + + : 22313 : foreach(cell, stmt->privileges)
+ + ]
554 : : {
6312 tgl@sss.pgh.pa.us 555 : 11355 : AccessPriv *privnode = (AccessPriv *) lfirst(cell);
556 : : AclMode priv;
557 : :
558 : : /*
559 : : * If it's a column-level specification, we just set it aside in
560 : : * col_privs for the moment; but insist it's for a relation.
561 : : */
562 [ + + ]: 11355 : if (privnode->cols)
563 : : {
3128 peter_e@gmx.net 564 [ - + ]: 303 : if (stmt->objtype != OBJECT_TABLE)
6312 tgl@sss.pgh.pa.us 565 [ # # ]:UBC 0 : ereport(ERROR,
566 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
567 : : errmsg("column privileges are only valid for relations")));
6312 tgl@sss.pgh.pa.us 568 :CBC 303 : istmt.col_privs = lappend(istmt.col_privs, privnode);
569 : 303 : continue;
570 : : }
571 : :
6172 bruce@momjian.us 572 [ - + ]: 11052 : if (privnode->priv_name == NULL) /* parser mistake? */
6312 tgl@sss.pgh.pa.us 573 [ # # ]:UBC 0 : elog(ERROR, "AccessPriv node must specify privilege or columns");
6312 tgl@sss.pgh.pa.us 574 :CBC 11052 : priv = string_to_privilege(privnode->priv_name);
575 : :
154 peter@eisentraut.org 576 [ + + ]:GNC 11052 : if (priv & ~all_privileges)
8324 tgl@sss.pgh.pa.us 577 [ + - ]:CBC 20 : ereport(ERROR,
578 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
579 : : errmsg(errormsg, privilege_to_string(priv))));
580 : :
7460 alvherre@alvh.no-ip. 581 : 11032 : istmt.privileges |= priv;
582 : : }
583 : : }
584 : :
585 : 12613 : ExecGrantStmt_oids(&istmt);
7470 586 : 12562 : }
587 : :
588 : : /*
589 : : * ExecGrantStmt_oids
590 : : *
591 : : * Internal entry point for granting and revoking privileges.
592 : : */
593 : : static void
7460 594 : 12749 : ExecGrantStmt_oids(InternalGrant *istmt)
595 : : {
596 [ + + + + : 12749 : switch (istmt->objtype)
+ + + + +
+ + - ]
597 : : {
3128 peter_e@gmx.net 598 : 11284 : case OBJECT_TABLE:
599 : : case OBJECT_SEQUENCE:
600 : : case OBJECT_PROPGRAPH:
7460 alvherre@alvh.no-ip. 601 : 11284 : ExecGrant_Relation(istmt);
7470 602 : 11269 : break;
3128 peter_e@gmx.net 603 : 216 : case OBJECT_DATABASE:
1239 peter@eisentraut.org 604 : 216 : ExecGrant_common(istmt, DatabaseRelationId, ACL_ALL_RIGHTS_DATABASE, NULL);
7470 alvherre@alvh.no-ip. 605 : 216 : break;
3128 peter_e@gmx.net 606 : 92 : case OBJECT_DOMAIN:
607 : : case OBJECT_TYPE:
1239 peter@eisentraut.org 608 : 92 : ExecGrant_common(istmt, TypeRelationId, ACL_ALL_RIGHTS_TYPE, ExecGrant_Type_check);
5250 peter_e@gmx.net 609 : 80 : break;
3128 610 : 61 : case OBJECT_FDW:
1239 peter@eisentraut.org 611 : 61 : ExecGrant_common(istmt, ForeignDataWrapperRelationId, ACL_ALL_RIGHTS_FDW, NULL);
6346 peter_e@gmx.net 612 : 49 : break;
3128 613 : 73 : case OBJECT_FOREIGN_SERVER:
1239 peter@eisentraut.org 614 : 73 : ExecGrant_common(istmt, ForeignServerRelationId, ACL_ALL_RIGHTS_FOREIGN_SERVER, NULL);
6346 peter_e@gmx.net 615 : 65 : break;
3128 616 : 570 : case OBJECT_FUNCTION:
617 : : case OBJECT_PROCEDURE:
618 : : case OBJECT_ROUTINE:
1239 peter@eisentraut.org 619 : 570 : ExecGrant_common(istmt, ProcedureRelationId, ACL_ALL_RIGHTS_FUNCTION, NULL);
7470 alvherre@alvh.no-ip. 620 : 570 : break;
3128 peter_e@gmx.net 621 : 27 : case OBJECT_LANGUAGE:
1239 peter@eisentraut.org 622 : 27 : ExecGrant_common(istmt, LanguageRelationId, ACL_ALL_RIGHTS_LANGUAGE, ExecGrant_Language_check);
7470 alvherre@alvh.no-ip. 623 : 23 : break;
3128 peter_e@gmx.net 624 : 58 : case OBJECT_LARGEOBJECT:
5989 itagaki.takahiro@gma 625 : 58 : ExecGrant_Largeobject(istmt);
626 : 58 : break;
3128 peter_e@gmx.net 627 : 317 : case OBJECT_SCHEMA:
1239 peter@eisentraut.org 628 : 317 : ExecGrant_common(istmt, NamespaceRelationId, ACL_ALL_RIGHTS_SCHEMA, NULL);
7470 alvherre@alvh.no-ip. 629 : 317 : break;
3128 peter_e@gmx.net 630 : 3 : case OBJECT_TABLESPACE:
1239 peter@eisentraut.org 631 : 3 : ExecGrant_common(istmt, TableSpaceRelationId, ACL_ALL_RIGHTS_TABLESPACE, NULL);
7470 alvherre@alvh.no-ip. 632 : 3 : break;
1490 tgl@sss.pgh.pa.us 633 : 48 : case OBJECT_PARAMETER_ACL:
634 : 48 : ExecGrant_Parameter(istmt);
635 : 48 : break;
7470 alvherre@alvh.no-ip. 636 :UBC 0 : default:
637 [ # # ]: 0 : elog(ERROR, "unrecognized GrantStmt.objtype: %d",
638 : : (int) istmt->objtype);
639 : : }
640 : :
641 : : /*
642 : : * Pass the info to event triggers about the just-executed GRANT. Note
643 : : * that we prefer to do it after actually executing it, because that gives
644 : : * the functions a chance to adjust the istmt with privileges actually
645 : : * granted.
646 : : */
3128 peter_e@gmx.net 647 [ + + ]:CBC 12698 : if (EventTriggerSupportsObjectType(istmt->objtype))
4012 alvherre@alvh.no-ip. 648 : 12431 : EventTriggerCollectGrant(istmt);
7470 649 : 12698 : }
650 : :
651 : : /*
652 : : * objectNamesToOids
653 : : *
654 : : * Turn a list of object names of a given type into an Oid list.
655 : : *
656 : : * XXX This function intentionally takes only an AccessShareLock. In the face
657 : : * of concurrent DDL, we might easily latch onto an old version of an object,
658 : : * causing the GRANT or REVOKE statement to fail. But it does prevent the
659 : : * object from disappearing altogether. To do better, we would need to use a
660 : : * self-exclusive lock, perhaps ShareUpdateExclusiveLock, here and before
661 : : * *every* CatalogTupleUpdate() of a row that GRANT/REVOKE can affect.
662 : : * Besides that additional work, this could have operational costs. For
663 : : * example, it would make GRANT ALL TABLES IN SCHEMA terminate every
664 : : * autovacuum running in the schema and consume a shared lock table entry per
665 : : * table in the schema. The user-visible benefit of that additional work is
666 : : * just changing "ERROR: tuple concurrently updated" to blocking. That's not
667 : : * nothing, but it might not outweigh autovacuum termination and lock table
668 : : * consumption spikes.
669 : : */
670 : : static List *
1490 tgl@sss.pgh.pa.us 671 : 12637 : objectNamesToOids(ObjectType objtype, List *objnames, bool is_grant)
672 : : {
7469 bruce@momjian.us 673 : 12637 : List *objects = NIL;
674 : : ListCell *cell;
536 peter@eisentraut.org 675 : 12637 : const LOCKMODE lockmode = AccessShareLock;
676 : :
7470 alvherre@alvh.no-ip. 677 [ - + ]: 12637 : Assert(objnames != NIL);
678 : :
679 [ + + + + ]: 12637 : switch (objtype)
680 : : {
536 peter@eisentraut.org 681 : 1290 : default:
682 : :
683 : : /*
684 : : * For most object types, we use get_object_address() directly.
685 : : */
7470 alvherre@alvh.no-ip. 686 [ + - + + : 2655 : foreach(cell, objnames)
+ + ]
687 : : {
688 : : ObjectAddress address;
689 : :
536 peter@eisentraut.org 690 : 1381 : address = get_object_address(objtype, lfirst(cell), NULL, lockmode, false);
691 : 1365 : objects = lappend_oid(objects, address.objectId);
692 : : }
7470 alvherre@alvh.no-ip. 693 : 1274 : break;
694 : :
536 peter@eisentraut.org 695 : 11217 : case OBJECT_TABLE:
696 : : case OBJECT_SEQUENCE:
697 : : case OBJECT_PROPGRAPH:
698 : :
699 : : /*
700 : : * Here, we don't use get_object_address(). It requires that the
701 : : * specified object type match the actual type of the object, but
702 : : * in GRANT/REVOKE, all table-like things are addressed as TABLE.
703 : : */
3078 peter_e@gmx.net 704 [ + - + + : 22469 : foreach(cell, objnames)
+ + ]
705 : : {
536 peter@eisentraut.org 706 : 11252 : RangeVar *relvar = (RangeVar *) lfirst(cell);
707 : : Oid relOid;
708 : :
709 : 11252 : relOid = RangeVarGetRelid(relvar, lockmode, false);
710 : 11252 : objects = lappend_oid(objects, relOid);
711 : : }
3078 peter_e@gmx.net 712 : 11217 : break;
713 : :
536 peter@eisentraut.org 714 : 93 : case OBJECT_DOMAIN:
715 : : case OBJECT_TYPE:
716 : :
717 : : /*
718 : : * The parse representation of types and domains in privilege
719 : : * targets is different from that expected by get_object_address()
720 : : * (for parse conflict reasons), so we have to do a bit of
721 : : * conversion here.
722 : : */
6346 peter_e@gmx.net 723 [ + - + + : 182 : foreach(cell, objnames)
+ + ]
724 : : {
536 peter@eisentraut.org 725 : 93 : List *typname = (List *) lfirst(cell);
726 : 93 : TypeName *tn = makeTypeNameFromNameList(typname);
727 : : ObjectAddress address;
728 : : Relation relation;
729 : :
730 : 93 : address = get_object_address(objtype, (Node *) tn, &relation, lockmode, false);
731 [ - + ]: 89 : Assert(relation == NULL);
732 : 89 : objects = lappend_oid(objects, address.objectId);
733 : : }
6346 peter_e@gmx.net 734 : 89 : break;
735 : :
1490 tgl@sss.pgh.pa.us 736 : 37 : case OBJECT_PARAMETER_ACL:
737 : :
738 : : /*
739 : : * Parameters are handled completely differently.
740 : : */
741 [ + - + + : 98 : foreach(cell, objnames)
+ + ]
742 : : {
743 : : /*
744 : : * In this code we represent a GUC by the OID of its entry in
745 : : * pg_parameter_acl, which we have to manufacture here if it
746 : : * doesn't exist yet. (That's a hack for sure, but it avoids
747 : : * messing with all the GRANT/REVOKE infrastructure that
748 : : * expects to use OIDs for object identities.) However, if
749 : : * this is a REVOKE, we can instead just ignore any GUCs that
750 : : * don't have such an entry, as they must not have any
751 : : * privileges needing removal.
752 : : */
753 : 62 : char *parameter = strVal(lfirst(cell));
754 : 62 : Oid parameterId = ParameterAclLookup(parameter, true);
755 : :
756 [ + + + + ]: 62 : if (!OidIsValid(parameterId) && is_grant)
757 : : {
758 : 34 : parameterId = ParameterAclCreate(parameter);
759 : :
760 : : /*
761 : : * Prevent error when processing duplicate objects, and
762 : : * make this new entry visible so that ExecGrant_Parameter
763 : : * can update it.
764 : : */
765 : 33 : CommandCounterIncrement();
766 : : }
767 [ + + ]: 61 : if (OidIsValid(parameterId))
768 : 55 : objects = lappend_oid(objects, parameterId);
769 : : }
770 : 36 : break;
771 : : }
772 : :
7470 alvherre@alvh.no-ip. 773 : 12616 : return objects;
774 : : }
775 : :
776 : : /*
777 : : * objectsInSchemaToOids
778 : : *
779 : : * Find all objects of a given type in specified schemas, and make a list
780 : : * of their Oids. We check USAGE privilege on the schemas, but there is
781 : : * no privilege checking on the individual objects here.
782 : : */
783 : : static List *
3128 peter_e@gmx.net 784 : 21 : objectsInSchemaToOids(ObjectType objtype, List *nspnames)
785 : : {
6049 tgl@sss.pgh.pa.us 786 : 21 : List *objects = NIL;
787 : : ListCell *cell;
788 : :
789 [ + - + + : 42 : foreach(cell, nspnames)
+ + ]
790 : : {
791 : 21 : char *nspname = strVal(lfirst(cell));
792 : : Oid namespaceId;
793 : : List *objs;
794 : :
4847 bruce@momjian.us 795 : 21 : namespaceId = LookupExplicitNamespace(nspname, false);
796 : :
6049 tgl@sss.pgh.pa.us 797 [ + + - + : 21 : switch (objtype)
- ]
798 : : {
3128 peter_e@gmx.net 799 : 8 : case OBJECT_TABLE:
6049 tgl@sss.pgh.pa.us 800 : 8 : objs = getRelationsInNamespace(namespaceId, RELKIND_RELATION);
801 : 8 : objects = list_concat(objects, objs);
802 : 8 : objs = getRelationsInNamespace(namespaceId, RELKIND_VIEW);
803 : 8 : objects = list_concat(objects, objs);
4811 kgrittn@postgresql.o 804 : 8 : objs = getRelationsInNamespace(namespaceId, RELKIND_MATVIEW);
805 : 8 : objects = list_concat(objects, objs);
5603 rhaas@postgresql.org 806 : 8 : objs = getRelationsInNamespace(namespaceId, RELKIND_FOREIGN_TABLE);
807 : 8 : objects = list_concat(objects, objs);
3436 808 : 8 : objs = getRelationsInNamespace(namespaceId, RELKIND_PARTITIONED_TABLE);
809 : 8 : objects = list_concat(objects, objs);
6049 tgl@sss.pgh.pa.us 810 : 8 : break;
3128 peter_e@gmx.net 811 :GBC 1 : case OBJECT_SEQUENCE:
6049 tgl@sss.pgh.pa.us 812 : 1 : objs = getRelationsInNamespace(namespaceId, RELKIND_SEQUENCE);
813 : 1 : objects = list_concat(objects, objs);
814 : 1 : break;
50 peter@eisentraut.org 815 :UNC 0 : case OBJECT_PROPGRAPH:
816 : 0 : objs = getRelationsInNamespace(namespaceId, RELKIND_PROPGRAPH);
817 : 0 : objects = list_concat(objects, objs);
818 : 0 : break;
3128 peter_e@gmx.net 819 :CBC 12 : case OBJECT_FUNCTION:
820 : : case OBJECT_PROCEDURE:
821 : : case OBJECT_ROUTINE:
822 : : {
823 : : ScanKeyData key[2];
824 : : int keycount;
825 : : Relation rel;
826 : : TableScanDesc scan;
827 : : HeapTuple tuple;
828 : :
3078 829 : 12 : keycount = 0;
830 : 12 : ScanKeyInit(&key[keycount++],
831 : : Anum_pg_proc_pronamespace,
832 : : BTEqualStrategyNumber, F_OIDEQ,
833 : : ObjectIdGetDatum(namespaceId));
834 : :
3128 835 [ + + ]: 12 : if (objtype == OBJECT_FUNCTION)
836 : : /* includes aggregates and window functions */
3078 837 : 4 : ScanKeyInit(&key[keycount++],
838 : : Anum_pg_proc_prokind,
839 : : BTEqualStrategyNumber, F_CHARNE,
840 : : CharGetDatum(PROKIND_PROCEDURE));
3128 841 [ + + ]: 8 : else if (objtype == OBJECT_PROCEDURE)
3078 842 : 4 : ScanKeyInit(&key[keycount++],
843 : : Anum_pg_proc_prokind,
844 : : BTEqualStrategyNumber, F_CHAREQ,
845 : : CharGetDatum(PROKIND_PROCEDURE));
846 : :
2661 andres@anarazel.de 847 : 12 : rel = table_open(ProcedureRelationId, AccessShareLock);
2612 848 : 12 : scan = table_beginscan_catalog(rel, keycount, key);
849 : :
6049 tgl@sss.pgh.pa.us 850 [ + + ]: 36 : while ((tuple = heap_getnext(scan, ForwardScanDirection)) != NULL)
851 : : {
2540 852 : 24 : Oid oid = ((Form_pg_proc) GETSTRUCT(tuple))->oid;
853 : :
2723 andres@anarazel.de 854 : 24 : objects = lappend_oid(objects, oid);
855 : : }
856 : :
2612 857 : 12 : table_endscan(scan);
2661 858 : 12 : table_close(rel, AccessShareLock);
859 : : }
6049 tgl@sss.pgh.pa.us 860 : 12 : break;
6049 tgl@sss.pgh.pa.us 861 :UBC 0 : default:
862 : : /* should not happen */
863 [ # # ]: 0 : elog(ERROR, "unrecognized GrantStmt.objtype: %d",
864 : : (int) objtype);
865 : : }
866 : : }
867 : :
6049 tgl@sss.pgh.pa.us 868 :CBC 21 : return objects;
869 : : }
870 : :
871 : : /*
872 : : * getRelationsInNamespace
873 : : *
874 : : * Return Oid list of relations in given namespace filtered by relation kind
875 : : */
876 : : static List *
877 : 41 : getRelationsInNamespace(Oid namespaceId, char relkind)
878 : : {
879 : 41 : List *relations = NIL;
880 : : ScanKeyData key[2];
881 : : Relation rel;
882 : : TableScanDesc scan;
883 : : HeapTuple tuple;
884 : :
885 : 41 : ScanKeyInit(&key[0],
886 : : Anum_pg_class_relnamespace,
887 : : BTEqualStrategyNumber, F_OIDEQ,
888 : : ObjectIdGetDatum(namespaceId));
889 : 41 : ScanKeyInit(&key[1],
890 : : Anum_pg_class_relkind,
891 : : BTEqualStrategyNumber, F_CHAREQ,
892 : : CharGetDatum(relkind));
893 : :
2661 andres@anarazel.de 894 : 41 : rel = table_open(RelationRelationId, AccessShareLock);
2612 895 : 41 : scan = table_beginscan_catalog(rel, 2, key);
896 : :
6049 tgl@sss.pgh.pa.us 897 [ + + ]: 62 : while ((tuple = heap_getnext(scan, ForwardScanDirection)) != NULL)
898 : : {
2540 899 : 21 : Oid oid = ((Form_pg_class) GETSTRUCT(tuple))->oid;
900 : :
2723 andres@anarazel.de 901 : 21 : relations = lappend_oid(relations, oid);
902 : : }
903 : :
2612 904 : 41 : table_endscan(scan);
2661 905 : 41 : table_close(rel, AccessShareLock);
906 : :
6049 tgl@sss.pgh.pa.us 907 : 41 : return relations;
908 : : }
909 : :
910 : :
911 : : /*
912 : : * ALTER DEFAULT PRIVILEGES statement
913 : : */
914 : : void
3528 peter_e@gmx.net 915 : 135 : ExecAlterDefaultPrivilegesStmt(ParseState *pstate, AlterDefaultPrivilegesStmt *stmt)
916 : : {
6056 tgl@sss.pgh.pa.us 917 : 135 : GrantStmt *action = stmt->action;
918 : : InternalDefaultACL iacls;
919 : : ListCell *cell;
4075 alvherre@alvh.no-ip. 920 : 135 : List *rolespecs = NIL;
6056 tgl@sss.pgh.pa.us 921 : 135 : List *nspnames = NIL;
4075 alvherre@alvh.no-ip. 922 : 135 : DefElem *drolespecs = NULL;
6056 tgl@sss.pgh.pa.us 923 : 135 : DefElem *dnspnames = NULL;
924 : : AclMode all_privileges;
925 : : const char *errormsg;
926 : :
927 : : /* Deconstruct the "options" part of the statement */
928 [ + + + + : 228 : foreach(cell, stmt->options)
+ + ]
929 : : {
930 : 93 : DefElem *defel = (DefElem *) lfirst(cell);
931 : :
932 [ + + ]: 93 : if (strcmp(defel->defname, "schemas") == 0)
933 : : {
934 [ - + ]: 39 : if (dnspnames)
1755 dean.a.rasheed@gmail 935 :UBC 0 : errorConflictingDefElem(defel, pstate);
6056 tgl@sss.pgh.pa.us 936 :CBC 39 : dnspnames = defel;
937 : : }
938 [ + - ]: 54 : else if (strcmp(defel->defname, "roles") == 0)
939 : : {
4075 alvherre@alvh.no-ip. 940 [ - + ]: 54 : if (drolespecs)
1755 dean.a.rasheed@gmail 941 :UBC 0 : errorConflictingDefElem(defel, pstate);
4075 alvherre@alvh.no-ip. 942 :CBC 54 : drolespecs = defel;
943 : : }
944 : : else
6056 tgl@sss.pgh.pa.us 945 [ # # ]:UBC 0 : elog(ERROR, "option \"%s\" not recognized", defel->defname);
946 : : }
947 : :
6056 tgl@sss.pgh.pa.us 948 [ + + ]:CBC 135 : if (dnspnames)
949 : 39 : nspnames = (List *) dnspnames->arg;
4075 alvherre@alvh.no-ip. 950 [ + + ]: 135 : if (drolespecs)
951 : 54 : rolespecs = (List *) drolespecs->arg;
952 : :
953 : : /* Prepare the InternalDefaultACL representation of the statement */
954 : : /* roleid to be filled below */
955 : : /* nspid to be filled in SetDefaultACLsInSchemas */
6056 tgl@sss.pgh.pa.us 956 : 135 : iacls.is_grant = action->is_grant;
957 : 135 : iacls.objtype = action->objtype;
958 : : /* all_privs to be filled below */
959 : : /* privileges to be filled below */
960 : 135 : iacls.grantees = NIL; /* filled below */
961 : 135 : iacls.grant_option = action->grant_option;
47 nathan@postgresql.or 962 :GNC 135 : iacls.grantor = action->grantor;
6056 tgl@sss.pgh.pa.us 963 :CBC 135 : iacls.behavior = action->behavior;
964 : :
965 : : /*
966 : : * Convert the RoleSpec list into an Oid list. Note that at this point we
967 : : * insert an ACL_ID_PUBLIC into the list if appropriate, so downstream
968 : : * there shouldn't be any additional work needed to support this case.
969 : : */
970 [ + - + + : 274 : foreach(cell, action->grantees)
+ + ]
971 : : {
4000 bruce@momjian.us 972 : 139 : RoleSpec *grantee = (RoleSpec *) lfirst(cell);
973 : : Oid grantee_uid;
974 : :
4075 alvherre@alvh.no-ip. 975 [ + + ]: 139 : switch (grantee->roletype)
976 : : {
977 : 30 : case ROLESPEC_PUBLIC:
978 : 30 : grantee_uid = ACL_ID_PUBLIC;
979 : 30 : break;
980 : 109 : default:
3415 peter_e@gmx.net 981 : 109 : grantee_uid = get_rolespec_oid(grantee, false);
4075 alvherre@alvh.no-ip. 982 : 109 : break;
983 : : }
984 : 139 : iacls.grantees = lappend_oid(iacls.grantees, grantee_uid);
985 : : }
986 : :
987 : : /*
988 : : * Convert action->privileges, a list of privilege strings, into an
989 : : * AclMode bitmask.
990 : : */
6056 tgl@sss.pgh.pa.us 991 [ + + + - : 135 : switch (action->objtype)
- + + + -
- ]
992 : : {
3128 peter_e@gmx.net 993 : 51 : case OBJECT_TABLE:
6056 tgl@sss.pgh.pa.us 994 : 51 : all_privileges = ACL_ALL_RIGHTS_RELATION;
995 : 51 : errormsg = gettext_noop("invalid privilege type %s for relation");
996 : 51 : break;
3128 peter_e@gmx.net 997 : 4 : case OBJECT_SEQUENCE:
6056 tgl@sss.pgh.pa.us 998 : 4 : all_privileges = ACL_ALL_RIGHTS_SEQUENCE;
999 : 4 : errormsg = gettext_noop("invalid privilege type %s for sequence");
1000 : 4 : break;
3128 peter_e@gmx.net 1001 : 14 : case OBJECT_FUNCTION:
6056 tgl@sss.pgh.pa.us 1002 : 14 : all_privileges = ACL_ALL_RIGHTS_FUNCTION;
1003 : 14 : errormsg = gettext_noop("invalid privilege type %s for function");
1004 : 14 : break;
3128 peter_e@gmx.net 1005 :UBC 0 : case OBJECT_PROCEDURE:
3078 1006 : 0 : all_privileges = ACL_ALL_RIGHTS_FUNCTION;
1007 : 0 : errormsg = gettext_noop("invalid privilege type %s for procedure");
1008 : 0 : break;
3128 1009 : 0 : case OBJECT_ROUTINE:
3078 1010 : 0 : all_privileges = ACL_ALL_RIGHTS_FUNCTION;
1011 : 0 : errormsg = gettext_noop("invalid privilege type %s for routine");
1012 : 0 : break;
3128 peter_e@gmx.net 1013 :CBC 22 : case OBJECT_TYPE:
5250 1014 : 22 : all_privileges = ACL_ALL_RIGHTS_TYPE;
1015 : 22 : errormsg = gettext_noop("invalid privilege type %s for type");
1016 : 22 : break;
3128 1017 : 24 : case OBJECT_SCHEMA:
1018 : 24 : all_privileges = ACL_ALL_RIGHTS_SCHEMA;
3325 teodor@sigaev.ru 1019 : 24 : errormsg = gettext_noop("invalid privilege type %s for schema");
1020 : 24 : break;
396 fujii@postgresql.org 1021 : 20 : case OBJECT_LARGEOBJECT:
1022 : 20 : all_privileges = ACL_ALL_RIGHTS_LARGEOBJECT;
1023 : 20 : errormsg = gettext_noop("invalid privilege type %s for large object");
1024 : 20 : break;
50 peter@eisentraut.org 1025 :UNC 0 : case OBJECT_PROPGRAPH:
1026 : 0 : all_privileges = ACL_ALL_RIGHTS_PROPGRAPH;
1027 : 0 : errormsg = gettext_noop("invalid privilege type %s for property graph");
1028 : 0 : break;
6056 tgl@sss.pgh.pa.us 1029 :UBC 0 : default:
1030 [ # # ]: 0 : elog(ERROR, "unrecognized GrantStmt.objtype: %d",
1031 : : (int) action->objtype);
1032 : : /* keep compiler quiet */
1033 : : all_privileges = ACL_NO_RIGHTS;
1034 : : errormsg = NULL;
1035 : : }
1036 : :
6056 tgl@sss.pgh.pa.us 1037 [ + + ]:CBC 135 : if (action->privileges == NIL)
1038 : : {
1039 : 51 : iacls.all_privs = true;
1040 : :
1041 : : /*
1042 : : * will be turned into ACL_ALL_RIGHTS_* by the internal routines
1043 : : * depending on the object type
1044 : : */
1045 : 51 : iacls.privileges = ACL_NO_RIGHTS;
1046 : : }
1047 : : else
1048 : : {
1049 : 84 : iacls.all_privs = false;
1050 : 84 : iacls.privileges = ACL_NO_RIGHTS;
1051 : :
1052 [ + - + + : 168 : foreach(cell, action->privileges)
+ + ]
1053 : : {
1054 : 84 : AccessPriv *privnode = (AccessPriv *) lfirst(cell);
1055 : : AclMode priv;
1056 : :
1057 [ - + ]: 84 : if (privnode->cols)
6056 tgl@sss.pgh.pa.us 1058 [ # # ]:UBC 0 : ereport(ERROR,
1059 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
1060 : : errmsg("default privileges cannot be set for columns")));
1061 : :
6056 tgl@sss.pgh.pa.us 1062 [ - + ]:CBC 84 : if (privnode->priv_name == NULL) /* parser mistake? */
6056 tgl@sss.pgh.pa.us 1063 [ # # ]:UBC 0 : elog(ERROR, "AccessPriv node must specify privilege");
6056 tgl@sss.pgh.pa.us 1064 :CBC 84 : priv = string_to_privilege(privnode->priv_name);
1065 : :
154 peter@eisentraut.org 1066 [ - + ]:GNC 84 : if (priv & ~all_privileges)
6056 tgl@sss.pgh.pa.us 1067 [ # # ]:UBC 0 : ereport(ERROR,
1068 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
1069 : : errmsg(errormsg, privilege_to_string(priv))));
1070 : :
6056 tgl@sss.pgh.pa.us 1071 :CBC 84 : iacls.privileges |= priv;
1072 : : }
1073 : : }
1074 : :
4075 alvherre@alvh.no-ip. 1075 [ + + ]: 135 : if (rolespecs == NIL)
1076 : : {
1077 : : /* Set permissions for myself */
6056 tgl@sss.pgh.pa.us 1078 : 81 : iacls.roleid = GetUserId();
1079 : :
1080 : 81 : SetDefaultACLsInSchemas(&iacls, nspnames);
1081 : : }
1082 : : else
1083 : : {
1084 : : /* Look up the role OIDs and do permissions checks */
1085 : : ListCell *rolecell;
1086 : :
4075 alvherre@alvh.no-ip. 1087 [ + - + + : 108 : foreach(rolecell, rolespecs)
+ + ]
1088 : : {
1089 : 54 : RoleSpec *rolespec = lfirst(rolecell);
1090 : :
3415 peter_e@gmx.net 1091 : 54 : iacls.roleid = get_rolespec_oid(rolespec, false);
1092 : :
1324 rhaas@postgresql.org 1093 [ - + ]: 54 : if (!has_privs_of_role(GetUserId(), iacls.roleid))
1324 rhaas@postgresql.org 1094 [ # # ]:UBC 0 : ereport(ERROR,
1095 : : (errcode(ERRCODE_INSUFFICIENT_PRIVILEGE),
1096 : : errmsg("permission denied to change default privileges")));
1097 : :
6056 tgl@sss.pgh.pa.us 1098 :CBC 54 : SetDefaultACLsInSchemas(&iacls, nspnames);
1099 : : }
1100 : : }
1101 : 127 : }
1102 : :
1103 : : /*
1104 : : * Process ALTER DEFAULT PRIVILEGES for a list of target schemas
1105 : : *
1106 : : * All fields of *iacls except nspid were filled already
1107 : : */
1108 : : static void
1109 : 135 : SetDefaultACLsInSchemas(InternalDefaultACL *iacls, List *nspnames)
1110 : : {
1111 [ + + ]: 135 : if (nspnames == NIL)
1112 : : {
1113 : : /* Set database-wide permissions if no schema was specified */
1114 : 96 : iacls->nspid = InvalidOid;
1115 : :
1116 : 96 : SetDefaultACL(iacls);
1117 : : }
1118 : : else
1119 : : {
1120 : : /* Look up the schema OIDs and set permissions for each one */
1121 : : ListCell *nspcell;
1122 : :
1123 [ + - + + : 74 : foreach(nspcell, nspnames)
+ + ]
1124 : : {
1125 : 43 : char *nspname = strVal(lfirst(nspcell));
1126 : :
5752 rhaas@postgresql.org 1127 : 43 : iacls->nspid = get_namespace_oid(nspname, false);
1128 : :
1129 : : /*
1130 : : * We used to insist that the target role have CREATE privileges
1131 : : * on the schema, since without that it wouldn't be able to create
1132 : : * an object for which these default privileges would apply.
1133 : : * However, this check proved to be more confusing than helpful,
1134 : : * and it also caused certain database states to not be
1135 : : * dumpable/restorable, since revoking CREATE doesn't cause
1136 : : * default privileges for the schema to go away. So now, we just
1137 : : * allow the ALTER; if the user lacks CREATE he'll find out when
1138 : : * he tries to create an object.
1139 : : */
1140 : :
6056 tgl@sss.pgh.pa.us 1141 : 43 : SetDefaultACL(iacls);
1142 : : }
1143 : : }
1144 : 127 : }
1145 : :
1146 : :
1147 : : /*
1148 : : * Create or update a pg_default_acl entry
1149 : : */
1150 : : static void
1151 : 163 : SetDefaultACL(InternalDefaultACL *iacls)
1152 : : {
1153 : 163 : AclMode this_privileges = iacls->privileges;
1154 : : char objtype;
1155 : : Relation rel;
1156 : : HeapTuple tuple;
1157 : : bool isNew;
1158 : : Acl *def_acl;
1159 : : Acl *old_acl;
1160 : : Acl *new_acl;
1161 : : HeapTuple newtuple;
1162 : : int noldmembers;
1163 : : int nnewmembers;
1164 : : Oid *oldmembers;
1165 : : Oid *newmembers;
1166 : :
2661 andres@anarazel.de 1167 : 163 : rel = table_open(DefaultAclRelationId, RowExclusiveLock);
1168 : :
1169 : : /*
1170 : : * The default for a global entry is the hard-wired default ACL for the
1171 : : * particular object type. The default for non-global entries is an empty
1172 : : * ACL. This must be so because global entries replace the hard-wired
1173 : : * defaults, while others are added on.
1174 : : */
5874 tgl@sss.pgh.pa.us 1175 [ + + ]: 163 : if (!OidIsValid(iacls->nspid))
1176 : 120 : def_acl = acldefault(iacls->objtype, iacls->roleid);
1177 : : else
1178 : 43 : def_acl = make_empty_acl();
1179 : :
1180 : : /*
1181 : : * Convert ACL object type to pg_default_acl object type and handle
1182 : : * all_privs option
1183 : : */
6056 1184 [ + + + + : 163 : switch (iacls->objtype)
+ + - ]
1185 : : {
3128 peter_e@gmx.net 1186 : 59 : case OBJECT_TABLE:
6056 tgl@sss.pgh.pa.us 1187 : 59 : objtype = DEFACLOBJ_RELATION;
1188 [ + + + - ]: 59 : if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
1189 : 17 : this_privileges = ACL_ALL_RIGHTS_RELATION;
1190 : 59 : break;
1191 : :
3128 peter_e@gmx.net 1192 : 8 : case OBJECT_SEQUENCE:
6056 tgl@sss.pgh.pa.us 1193 : 8 : objtype = DEFACLOBJ_SEQUENCE;
1194 [ + - + - ]: 8 : if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
1195 : 8 : this_privileges = ACL_ALL_RIGHTS_SEQUENCE;
1196 : 8 : break;
1197 : :
3128 peter_e@gmx.net 1198 : 18 : case OBJECT_FUNCTION:
6056 tgl@sss.pgh.pa.us 1199 : 18 : objtype = DEFACLOBJ_FUNCTION;
1200 [ + + + - ]: 18 : if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
1201 : 8 : this_privileges = ACL_ALL_RIGHTS_FUNCTION;
1202 : 18 : break;
1203 : :
3128 peter_e@gmx.net 1204 : 26 : case OBJECT_TYPE:
5250 1205 : 26 : objtype = DEFACLOBJ_TYPE;
1206 [ + + + - ]: 26 : if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
1207 : 10 : this_privileges = ACL_ALL_RIGHTS_TYPE;
1208 : 26 : break;
1209 : :
3128 1210 : 28 : case OBJECT_SCHEMA:
3325 teodor@sigaev.ru 1211 [ + + ]: 28 : if (OidIsValid(iacls->nspid))
1212 [ + - ]: 4 : ereport(ERROR,
1213 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
1214 : : errmsg("cannot use IN SCHEMA clause when using %s",
1215 : : "GRANT/REVOKE ON SCHEMAS")));
1216 : 24 : objtype = DEFACLOBJ_NAMESPACE;
1217 [ + + + - ]: 24 : if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
3128 peter_e@gmx.net 1218 : 16 : this_privileges = ACL_ALL_RIGHTS_SCHEMA;
3325 teodor@sigaev.ru 1219 : 24 : break;
1220 : :
396 fujii@postgresql.org 1221 : 24 : case OBJECT_LARGEOBJECT:
1222 [ + + ]: 24 : if (OidIsValid(iacls->nspid))
1223 [ + - ]: 4 : ereport(ERROR,
1224 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
1225 : : errmsg("cannot use IN SCHEMA clause when using %s",
1226 : : "GRANT/REVOKE ON LARGE OBJECTS")));
1227 : 20 : objtype = DEFACLOBJ_LARGEOBJECT;
1228 [ + + + - ]: 20 : if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
1229 : 12 : this_privileges = ACL_ALL_RIGHTS_LARGEOBJECT;
1230 : 20 : break;
1231 : :
6056 tgl@sss.pgh.pa.us 1232 :UBC 0 : default:
1274 peter@eisentraut.org 1233 [ # # ]: 0 : elog(ERROR, "unrecognized object type: %d",
1234 : : (int) iacls->objtype);
1235 : : objtype = 0; /* keep compiler quiet */
1236 : : break;
1237 : : }
1238 : :
1239 : : /* Search for existing row for this object type in catalog */
5924 rhaas@postgresql.org 1240 :CBC 155 : tuple = SearchSysCache3(DEFACLROLENSPOBJ,
1241 : : ObjectIdGetDatum(iacls->roleid),
1242 : : ObjectIdGetDatum(iacls->nspid),
1243 : : CharGetDatum(objtype));
1244 : :
6056 tgl@sss.pgh.pa.us 1245 [ + + ]: 155 : if (HeapTupleIsValid(tuple))
1246 : : {
1247 : : Datum aclDatum;
1248 : : bool isNull;
1249 : :
1250 : 60 : aclDatum = SysCacheGetAttr(DEFACLROLENSPOBJ, tuple,
1251 : : Anum_pg_default_acl_defaclacl,
1252 : : &isNull);
1253 [ + - ]: 60 : if (!isNull)
1254 : 60 : old_acl = DatumGetAclPCopy(aclDatum);
1255 : : else
5874 tgl@sss.pgh.pa.us 1256 :UBC 0 : old_acl = NULL; /* this case shouldn't happen, probably */
6056 tgl@sss.pgh.pa.us 1257 :CBC 60 : isNew = false;
1258 : : }
1259 : : else
1260 : : {
1261 : 95 : old_acl = NULL;
1262 : 95 : isNew = true;
1263 : : }
1264 : :
5874 1265 [ + + ]: 155 : if (old_acl != NULL)
1266 : : {
1267 : : /*
1268 : : * We need the members of both old and new ACLs so we can correct the
1269 : : * shared dependency information. Collect data before
1270 : : * merge_acl_with_grant throws away old_acl.
1271 : : */
1272 : 60 : noldmembers = aclmembers(old_acl, &oldmembers);
1273 : : }
1274 : : else
1275 : : {
1276 : : /* If no or null entry, start with the default ACL value */
1277 : 95 : old_acl = aclcopy(def_acl);
1278 : : /* There are no old member roles according to the catalogs */
1279 : 95 : noldmembers = 0;
1280 : 95 : oldmembers = NULL;
1281 : : }
1282 : :
1283 : : /*
1284 : : * Generate new ACL. Grantor of rights is always the same as the target
1285 : : * role.
1286 : : */
6056 1287 : 155 : new_acl = merge_acl_with_grant(old_acl,
1288 : 155 : iacls->is_grant,
1289 : 155 : iacls->grant_option,
1290 : : iacls->behavior,
1291 : : iacls->grantees,
1292 : : this_privileges,
1293 : : iacls->roleid,
1294 : : iacls->roleid);
1295 : :
1296 : : /*
1297 : : * If the result is the same as the default value, we do not need an
1298 : : * explicit pg_default_acl entry, and should in fact remove the entry if
1299 : : * it exists. Must sort both arrays to compare properly.
1300 : : */
5874 1301 : 155 : aclitemsort(new_acl);
1302 : 155 : aclitemsort(def_acl);
1303 [ + + ]: 155 : if (aclequal(new_acl, def_acl))
1304 : : {
1305 : : /* delete old entry, if indeed there is one */
1306 [ + + ]: 41 : if (!isNew)
1307 : : {
1308 : : ObjectAddress myself;
1309 : :
1310 : : /*
1311 : : * The dependency machinery will take care of removing all
1312 : : * associated dependency entries. We use DROP_RESTRICT since
1313 : : * there shouldn't be anything depending on this entry.
1314 : : */
1315 : 40 : myself.classId = DefaultAclRelationId;
2723 andres@anarazel.de 1316 : 40 : myself.objectId = ((Form_pg_default_acl) GETSTRUCT(tuple))->oid;
5874 tgl@sss.pgh.pa.us 1317 : 40 : myself.objectSubId = 0;
1318 : :
5213 rhaas@postgresql.org 1319 : 40 : performDeletion(&myself, DROP_RESTRICT, 0);
1320 : : }
1321 : : }
1322 : : else
1323 : : {
1389 peter@eisentraut.org 1324 : 114 : Datum values[Natts_pg_default_acl] = {0};
1325 : 114 : bool nulls[Natts_pg_default_acl] = {0};
1326 : 114 : bool replaces[Natts_pg_default_acl] = {0};
1327 : : Oid defAclOid;
1328 : :
5874 tgl@sss.pgh.pa.us 1329 [ + + ]: 114 : if (isNew)
1330 : : {
1331 : : /* insert new entry */
2723 andres@anarazel.de 1332 : 94 : defAclOid = GetNewOidWithIndex(rel, DefaultAclOidIndexId,
1333 : : Anum_pg_default_acl_oid);
1334 : 94 : values[Anum_pg_default_acl_oid - 1] = ObjectIdGetDatum(defAclOid);
5874 tgl@sss.pgh.pa.us 1335 : 94 : values[Anum_pg_default_acl_defaclrole - 1] = ObjectIdGetDatum(iacls->roleid);
1336 : 94 : values[Anum_pg_default_acl_defaclnamespace - 1] = ObjectIdGetDatum(iacls->nspid);
1337 : 94 : values[Anum_pg_default_acl_defaclobjtype - 1] = CharGetDatum(objtype);
1338 : 94 : values[Anum_pg_default_acl_defaclacl - 1] = PointerGetDatum(new_acl);
1339 : :
1340 : 94 : newtuple = heap_form_tuple(RelationGetDescr(rel), values, nulls);
3381 alvherre@alvh.no-ip. 1341 : 94 : CatalogTupleInsert(rel, newtuple);
1342 : : }
1343 : : else
1344 : : {
2723 andres@anarazel.de 1345 : 20 : defAclOid = ((Form_pg_default_acl) GETSTRUCT(tuple))->oid;
1346 : :
1347 : : /* update existing entry */
5874 tgl@sss.pgh.pa.us 1348 : 20 : values[Anum_pg_default_acl_defaclacl - 1] = PointerGetDatum(new_acl);
1349 : 20 : replaces[Anum_pg_default_acl_defaclacl - 1] = true;
1350 : :
1351 : 20 : newtuple = heap_modify_tuple(tuple, RelationGetDescr(rel),
1352 : : values, nulls, replaces);
3381 alvherre@alvh.no-ip. 1353 : 20 : CatalogTupleUpdate(rel, &newtuple->t_self, newtuple);
1354 : : }
1355 : :
1356 : : /* these dependencies don't change in an update */
5874 tgl@sss.pgh.pa.us 1357 [ + + ]: 114 : if (isNew)
1358 : : {
1359 : : /* dependency on role */
2723 andres@anarazel.de 1360 : 94 : recordDependencyOnOwner(DefaultAclRelationId, defAclOid,
1361 : : iacls->roleid);
1362 : :
1363 : : /* dependency on namespace */
5874 tgl@sss.pgh.pa.us 1364 [ + + ]: 94 : if (OidIsValid(iacls->nspid))
1365 : : {
1366 : : ObjectAddress myself,
1367 : : referenced;
1368 : :
1369 : 22 : myself.classId = DefaultAclRelationId;
2723 andres@anarazel.de 1370 : 22 : myself.objectId = defAclOid;
5874 tgl@sss.pgh.pa.us 1371 : 22 : myself.objectSubId = 0;
1372 : :
1373 : 22 : referenced.classId = NamespaceRelationId;
1374 : 22 : referenced.objectId = iacls->nspid;
1375 : 22 : referenced.objectSubId = 0;
1376 : :
1377 : 22 : recordDependencyOn(&myself, &referenced, DEPENDENCY_AUTO);
1378 : : }
1379 : : }
1380 : :
1381 : : /*
1382 : : * Update the shared dependency ACL info
1383 : : */
1384 : 114 : nnewmembers = aclmembers(new_acl, &newmembers);
1385 : :
1386 : 114 : updateAclDependencies(DefaultAclRelationId,
1387 : : defAclOid, 0,
1388 : : iacls->roleid,
1389 : : noldmembers, oldmembers,
1390 : : nnewmembers, newmembers);
1391 : :
4797 rhaas@postgresql.org 1392 [ + + ]: 114 : if (isNew)
2723 andres@anarazel.de 1393 [ - + ]: 94 : InvokeObjectPostCreateHook(DefaultAclRelationId, defAclOid, 0);
1394 : : else
2540 tgl@sss.pgh.pa.us 1395 [ - + ]: 20 : InvokeObjectPostAlterHook(DefaultAclRelationId, defAclOid, 0);
1396 : : }
1397 : :
6056 1398 [ + + ]: 155 : if (HeapTupleIsValid(tuple))
1399 : 60 : ReleaseSysCache(tuple);
1400 : :
2661 andres@anarazel.de 1401 : 155 : table_close(rel, RowExclusiveLock);
1402 : :
1403 : : /* prevent error when processing duplicate objects */
1931 michael@paquier.xyz 1404 : 155 : CommandCounterIncrement();
6056 tgl@sss.pgh.pa.us 1405 : 155 : }
1406 : :
1407 : :
1408 : : /*
1409 : : * RemoveRoleFromObjectACL
1410 : : *
1411 : : * Used by shdepDropOwned to remove mentions of a role in ACLs.
1412 : : *
1413 : : * Notice that this doesn't accept an objsubid parameter, which is a bit bogus
1414 : : * since the pg_shdepend record that caused us to call it certainly had one.
1415 : : * If, for example, pg_shdepend records the existence of a permission on
1416 : : * mytable.mycol, this function will effectively issue a REVOKE ALL ON TABLE
1417 : : * mytable. That gets the job done because (per SQL spec) such a REVOKE also
1418 : : * revokes per-column permissions. We could not recreate a situation where
1419 : : * the role has table-level but not column-level permissions; but it's okay
1420 : : * (for now anyway) because this is only used when we're dropping the role
1421 : : * and so all its permissions everywhere must go away. At worst it's a bit
1422 : : * inefficient if the role has column permissions on several columns of the
1423 : : * same table.
1424 : : */
1425 : : void
1426 : 160 : RemoveRoleFromObjectACL(Oid roleid, Oid classid, Oid objid)
1427 : : {
1428 [ + + ]: 160 : if (classid == DefaultAclRelationId)
1429 : : {
1430 : : InternalDefaultACL iacls;
1431 : : Form_pg_default_acl pg_default_acl_tuple;
1432 : : Relation rel;
1433 : : ScanKeyData skey[1];
1434 : : SysScanDesc scan;
1435 : : HeapTuple tuple;
1436 : :
1437 : : /* first fetch info needed by SetDefaultACL */
2661 andres@anarazel.de 1438 : 24 : rel = table_open(DefaultAclRelationId, AccessShareLock);
1439 : :
6056 tgl@sss.pgh.pa.us 1440 : 24 : ScanKeyInit(&skey[0],
1441 : : Anum_pg_default_acl_oid,
1442 : : BTEqualStrategyNumber, F_OIDEQ,
1443 : : ObjectIdGetDatum(objid));
1444 : :
1445 : 24 : scan = systable_beginscan(rel, DefaultAclOidIndexId, true,
1446 : : NULL, 1, skey);
1447 : :
1448 : 24 : tuple = systable_getnext(scan);
1449 : :
1450 [ - + ]: 24 : if (!HeapTupleIsValid(tuple))
6056 tgl@sss.pgh.pa.us 1451 [ # # ]:UBC 0 : elog(ERROR, "could not find tuple for default ACL %u", objid);
1452 : :
6056 tgl@sss.pgh.pa.us 1453 :CBC 24 : pg_default_acl_tuple = (Form_pg_default_acl) GETSTRUCT(tuple);
1454 : :
1455 : 24 : iacls.roleid = pg_default_acl_tuple->defaclrole;
1456 : 24 : iacls.nspid = pg_default_acl_tuple->defaclnamespace;
1457 : :
1458 [ + + + + : 24 : switch (pg_default_acl_tuple->defaclobjtype)
+ + - ]
1459 : : {
1460 : 4 : case DEFACLOBJ_RELATION:
3128 peter_e@gmx.net 1461 : 4 : iacls.objtype = OBJECT_TABLE;
6056 tgl@sss.pgh.pa.us 1462 : 4 : break;
5494 rhaas@postgresql.org 1463 : 4 : case DEFACLOBJ_SEQUENCE:
3128 peter_e@gmx.net 1464 : 4 : iacls.objtype = OBJECT_SEQUENCE;
6056 tgl@sss.pgh.pa.us 1465 : 4 : break;
1466 : 4 : case DEFACLOBJ_FUNCTION:
3128 peter_e@gmx.net 1467 : 4 : iacls.objtype = OBJECT_FUNCTION;
6056 tgl@sss.pgh.pa.us 1468 : 4 : break;
4895 1469 : 4 : case DEFACLOBJ_TYPE:
3128 peter_e@gmx.net 1470 : 4 : iacls.objtype = OBJECT_TYPE;
4895 tgl@sss.pgh.pa.us 1471 : 4 : break;
3325 teodor@sigaev.ru 1472 : 4 : case DEFACLOBJ_NAMESPACE:
3128 peter_e@gmx.net 1473 : 4 : iacls.objtype = OBJECT_SCHEMA;
3325 teodor@sigaev.ru 1474 : 4 : break;
396 fujii@postgresql.org 1475 : 4 : case DEFACLOBJ_LARGEOBJECT:
1476 : 4 : iacls.objtype = OBJECT_LARGEOBJECT;
1477 : 4 : break;
6056 tgl@sss.pgh.pa.us 1478 :UBC 0 : default:
1479 : : /* Shouldn't get here */
4895 1480 [ # # ]: 0 : elog(ERROR, "unexpected default ACL type: %d",
1481 : : (int) pg_default_acl_tuple->defaclobjtype);
1482 : : break;
1483 : : }
1484 : :
6056 tgl@sss.pgh.pa.us 1485 :CBC 24 : systable_endscan(scan);
2661 andres@anarazel.de 1486 : 24 : table_close(rel, AccessShareLock);
1487 : :
6056 tgl@sss.pgh.pa.us 1488 : 24 : iacls.is_grant = false;
1489 : 24 : iacls.all_privs = true;
1490 : 24 : iacls.privileges = ACL_NO_RIGHTS;
1491 : 24 : iacls.grantees = list_make1_oid(roleid);
1492 : 24 : iacls.grant_option = false;
47 nathan@postgresql.or 1493 :GNC 24 : iacls.grantor = NULL;
6056 tgl@sss.pgh.pa.us 1494 :CBC 24 : iacls.behavior = DROP_CASCADE;
1495 : :
1496 : : /* Do it */
1497 : 24 : SetDefaultACL(&iacls);
1498 : : }
1499 : : else
1500 : : {
1501 : : InternalGrant istmt;
1502 : :
1503 [ + + + + : 136 : switch (classid)
- + + - +
+ + - ]
1504 : : {
1505 : 62 : case RelationRelationId:
1506 : : /* it's OK to use TABLE for a sequence */
3128 peter_e@gmx.net 1507 : 62 : istmt.objtype = OBJECT_TABLE;
6056 tgl@sss.pgh.pa.us 1508 : 62 : break;
1509 : 6 : case DatabaseRelationId:
3128 peter_e@gmx.net 1510 : 6 : istmt.objtype = OBJECT_DATABASE;
6056 tgl@sss.pgh.pa.us 1511 : 6 : break;
5250 peter_e@gmx.net 1512 : 3 : case TypeRelationId:
3128 1513 : 3 : istmt.objtype = OBJECT_TYPE;
5250 1514 : 3 : break;
6056 tgl@sss.pgh.pa.us 1515 : 22 : case ProcedureRelationId:
3128 peter_e@gmx.net 1516 : 22 : istmt.objtype = OBJECT_ROUTINE;
6056 tgl@sss.pgh.pa.us 1517 : 22 : break;
6056 tgl@sss.pgh.pa.us 1518 :UBC 0 : case LanguageRelationId:
3128 peter_e@gmx.net 1519 : 0 : istmt.objtype = OBJECT_LANGUAGE;
6056 tgl@sss.pgh.pa.us 1520 : 0 : break;
5989 itagaki.takahiro@gma 1521 :CBC 12 : case LargeObjectRelationId:
3128 peter_e@gmx.net 1522 : 12 : istmt.objtype = OBJECT_LARGEOBJECT;
5989 itagaki.takahiro@gma 1523 : 12 : break;
6056 tgl@sss.pgh.pa.us 1524 : 9 : case NamespaceRelationId:
3128 peter_e@gmx.net 1525 : 9 : istmt.objtype = OBJECT_SCHEMA;
6056 tgl@sss.pgh.pa.us 1526 : 9 : break;
6056 tgl@sss.pgh.pa.us 1527 :UBC 0 : case TableSpaceRelationId:
3128 peter_e@gmx.net 1528 : 0 : istmt.objtype = OBJECT_TABLESPACE;
6056 tgl@sss.pgh.pa.us 1529 : 0 : break;
5653 heikki.linnakangas@i 1530 :CBC 9 : case ForeignServerRelationId:
3128 peter_e@gmx.net 1531 : 9 : istmt.objtype = OBJECT_FOREIGN_SERVER;
5653 heikki.linnakangas@i 1532 : 9 : break;
1533 : 1 : case ForeignDataWrapperRelationId:
3128 peter_e@gmx.net 1534 : 1 : istmt.objtype = OBJECT_FDW;
5653 heikki.linnakangas@i 1535 : 1 : break;
1490 tgl@sss.pgh.pa.us 1536 : 12 : case ParameterAclRelationId:
1537 : 12 : istmt.objtype = OBJECT_PARAMETER_ACL;
1538 : 12 : break;
6056 tgl@sss.pgh.pa.us 1539 :UBC 0 : default:
1540 [ # # ]: 0 : elog(ERROR, "unexpected object class %u", classid);
1541 : : break;
1542 : : }
6056 tgl@sss.pgh.pa.us 1543 :CBC 136 : istmt.is_grant = false;
1544 : 136 : istmt.objects = list_make1_oid(objid);
1545 : 136 : istmt.all_privs = true;
1546 : 136 : istmt.privileges = ACL_NO_RIGHTS;
1547 : 136 : istmt.col_privs = NIL;
1548 : 136 : istmt.grantees = list_make1_oid(roleid);
1549 : 136 : istmt.grant_option = false;
47 nathan@postgresql.or 1550 :GNC 136 : istmt.grantor = NULL;
6056 tgl@sss.pgh.pa.us 1551 :CBC 136 : istmt.behavior = DROP_CASCADE;
1552 : :
1553 : 136 : ExecGrantStmt_oids(&istmt);
1554 : : }
1555 : 160 : }
1556 : :
1557 : :
1558 : : /*
1559 : : * expand_col_privileges
1560 : : *
1561 : : * OR the specified privilege(s) into per-column array entries for each
1562 : : * specified attribute. The per-column array is indexed starting at
1563 : : * FirstLowInvalidHeapAttributeNumber, up to relation's last attribute.
1564 : : */
1565 : : static void
6312 1566 : 303 : expand_col_privileges(List *colnames, Oid table_oid,
1567 : : AclMode this_privileges,
1568 : : AclMode *col_privileges,
1569 : : int num_col_privileges)
1570 : : {
1571 : : ListCell *cell;
1572 : :
1573 [ + - + + : 1887 : foreach(cell, colnames)
+ + ]
1574 : : {
1575 : 1584 : char *colname = strVal(lfirst(cell));
1576 : : AttrNumber attnum;
1577 : :
1578 : 1584 : attnum = get_attnum(table_oid, colname);
1579 [ - + ]: 1584 : if (attnum == InvalidAttrNumber)
6312 tgl@sss.pgh.pa.us 1580 [ # # ]:UBC 0 : ereport(ERROR,
1581 : : (errcode(ERRCODE_UNDEFINED_COLUMN),
1582 : : errmsg("column \"%s\" of relation \"%s\" does not exist",
1583 : : colname, get_rel_name(table_oid))));
6312 tgl@sss.pgh.pa.us 1584 :CBC 1584 : attnum -= FirstLowInvalidHeapAttributeNumber;
1585 [ + - - + ]: 1584 : if (attnum <= 0 || attnum >= num_col_privileges)
6172 bruce@momjian.us 1586 [ # # ]:UBC 0 : elog(ERROR, "column number out of range"); /* safety check */
6312 tgl@sss.pgh.pa.us 1587 :CBC 1584 : col_privileges[attnum] |= this_privileges;
1588 : : }
1589 : 303 : }
1590 : :
1591 : : /*
1592 : : * expand_all_col_privileges
1593 : : *
1594 : : * OR the specified privilege(s) into per-column array entries for each valid
1595 : : * attribute of a relation. The per-column array is indexed starting at
1596 : : * FirstLowInvalidHeapAttributeNumber, up to relation's last attribute.
1597 : : */
1598 : : static void
1599 : 3525 : expand_all_col_privileges(Oid table_oid, Form_pg_class classForm,
1600 : : AclMode this_privileges,
1601 : : AclMode *col_privileges,
1602 : : int num_col_privileges)
1603 : : {
1604 : : AttrNumber curr_att;
1605 : :
1606 [ - + ]: 3525 : Assert(classForm->relnatts - FirstLowInvalidHeapAttributeNumber < num_col_privileges);
1607 : 3525 : for (curr_att = FirstLowInvalidHeapAttributeNumber + 1;
1608 [ + + ]: 37368 : curr_att <= classForm->relnatts;
1609 : 33843 : curr_att++)
1610 : : {
1611 : : HeapTuple attTuple;
1612 : : bool isdropped;
1613 : :
1614 [ + + ]: 33843 : if (curr_att == InvalidAttrNumber)
1615 : 3525 : continue;
1616 : :
1617 : : /* Views don't have any system columns at all */
1618 [ + + + + ]: 30318 : if (classForm->relkind == RELKIND_VIEW && curr_att < 0)
1619 : 3756 : continue;
1620 : :
5924 rhaas@postgresql.org 1621 : 26562 : attTuple = SearchSysCache2(ATTNUM,
1622 : : ObjectIdGetDatum(table_oid),
1623 : : Int16GetDatum(curr_att));
6312 tgl@sss.pgh.pa.us 1624 [ - + ]: 26562 : if (!HeapTupleIsValid(attTuple))
6312 tgl@sss.pgh.pa.us 1625 [ # # ]:UBC 0 : elog(ERROR, "cache lookup failed for attribute %d of relation %u",
1626 : : curr_att, table_oid);
1627 : :
6312 tgl@sss.pgh.pa.us 1628 :CBC 26562 : isdropped = ((Form_pg_attribute) GETSTRUCT(attTuple))->attisdropped;
1629 : :
1630 : 26562 : ReleaseSysCache(attTuple);
1631 : :
1632 : : /* ignore dropped columns */
1633 [ + + ]: 26562 : if (isdropped)
1634 : 4 : continue;
1635 : :
1636 : 26558 : col_privileges[curr_att - FirstLowInvalidHeapAttributeNumber] |= this_privileges;
1637 : : }
1638 : 3525 : }
1639 : :
1640 : : /*
1641 : : * This processes attributes, but expects to be called from
1642 : : * ExecGrant_Relation, not directly from ExecuteGrantStmt.
1643 : : */
1644 : : static void
1645 : 28114 : ExecGrant_Attribute(InternalGrant *istmt, Oid relOid, const char *relname,
1646 : : AttrNumber attnum, Oid ownerId, AclMode col_privileges,
1647 : : Relation attRelation, const Acl *old_rel_acl)
1648 : : {
1649 : : HeapTuple attr_tuple;
1650 : : Form_pg_attribute pg_attribute_tuple;
1651 : : Acl *old_acl;
1652 : : Acl *new_acl;
1653 : : Acl *merged_acl;
1654 : : Datum aclDatum;
1655 : : bool isNull;
1656 : : Oid grantorId;
1657 : : AclMode avail_goptions;
1658 : : bool need_update;
1659 : : HeapTuple newtuple;
1389 peter@eisentraut.org 1660 : 28114 : Datum values[Natts_pg_attribute] = {0};
1661 : 28114 : bool nulls[Natts_pg_attribute] = {0};
1662 : 28114 : bool replaces[Natts_pg_attribute] = {0};
1663 : : int noldmembers;
1664 : : int nnewmembers;
1665 : : Oid *oldmembers;
1666 : : Oid *newmembers;
1667 : :
5924 rhaas@postgresql.org 1668 : 28114 : attr_tuple = SearchSysCache2(ATTNUM,
1669 : : ObjectIdGetDatum(relOid),
1670 : : Int16GetDatum(attnum));
6312 tgl@sss.pgh.pa.us 1671 [ - + ]: 28114 : if (!HeapTupleIsValid(attr_tuple))
6312 tgl@sss.pgh.pa.us 1672 [ # # ]:UBC 0 : elog(ERROR, "cache lookup failed for attribute %d of relation %u",
1673 : : attnum, relOid);
6312 tgl@sss.pgh.pa.us 1674 :CBC 28114 : pg_attribute_tuple = (Form_pg_attribute) GETSTRUCT(attr_tuple);
1675 : :
1676 : : /*
1677 : : * Get working copy of existing ACL. If there's no ACL, substitute the
1678 : : * proper default.
1679 : : */
1680 : 28114 : aclDatum = SysCacheGetAttr(ATTNUM, attr_tuple, Anum_pg_attribute_attacl,
1681 : : &isNull);
1682 [ + + ]: 28114 : if (isNull)
1683 : : {
3128 peter_e@gmx.net 1684 : 27894 : old_acl = acldefault(OBJECT_COLUMN, ownerId);
1685 : : /* There are no old member roles according to the catalogs */
5874 tgl@sss.pgh.pa.us 1686 : 27894 : noldmembers = 0;
1687 : 27894 : oldmembers = NULL;
1688 : : }
1689 : : else
1690 : : {
6312 1691 : 220 : old_acl = DatumGetAclPCopy(aclDatum);
1692 : : /* Get the roles mentioned in the existing ACL */
5874 1693 : 220 : noldmembers = aclmembers(old_acl, &oldmembers);
1694 : : }
1695 : :
1696 : : /*
1697 : : * In select_best_grantor we should consider existing table-level ACL bits
1698 : : * as well as the per-column ACL. Build a new ACL that is their
1699 : : * concatenation. (This is a bit cheap and dirty compared to merging them
1700 : : * properly with no duplications, but it's all we need here.)
1701 : : */
6312 1702 : 28114 : merged_acl = aclconcat(old_rel_acl, old_acl);
1703 : :
1704 : : /* Determine ID to do the grant as, and available grant options */
47 nathan@postgresql.or 1705 :GNC 28114 : select_best_grantor(istmt->grantor, col_privileges,
1706 : : merged_acl, ownerId,
1707 : : &grantorId, &avail_goptions);
1708 : :
6312 tgl@sss.pgh.pa.us 1709 :CBC 28114 : pfree(merged_acl);
1710 : :
1711 : : /*
1712 : : * Restrict the privileges to what we can actually grant, and emit the
1713 : : * standards-mandated warning and error messages. Note: we don't track
1714 : : * whether the user actually used the ALL PRIVILEGES(columns) syntax for
1715 : : * each column; we just approximate it by whether all the possible
1716 : : * privileges are specified now. Since the all_privs flag only determines
1717 : : * whether a warning is issued, this seems close enough.
1718 : : */
1719 : : col_privileges =
1720 : 28114 : restrict_and_check_grant(istmt->is_grant, avail_goptions,
1721 : : (col_privileges == ACL_ALL_RIGHTS_COLUMN),
1722 : : col_privileges,
1723 : : relOid, grantorId, OBJECT_COLUMN,
1724 : : relname, attnum,
1725 : 28114 : NameStr(pg_attribute_tuple->attname));
1726 : :
1727 : : /*
1728 : : * Generate new ACL.
1729 : : */
1730 : 28114 : new_acl = merge_acl_with_grant(old_acl, istmt->is_grant,
1731 : 28114 : istmt->grant_option,
1732 : : istmt->behavior, istmt->grantees,
1733 : : col_privileges, grantorId,
1734 : : ownerId);
1735 : :
1736 : : /*
1737 : : * We need the members of both old and new ACLs so we can correct the
1738 : : * shared dependency information.
1739 : : */
1740 : 28114 : nnewmembers = aclmembers(new_acl, &newmembers);
1741 : :
1742 : : /* finished building new ACL value, now insert it */
1743 : :
1744 : : /*
1745 : : * If the updated ACL is empty, we can set attacl to null, and maybe even
1746 : : * avoid an update of the pg_attribute row. This is worth testing because
1747 : : * we'll come through here multiple times for any relation-level REVOKE,
1748 : : * even if there were never any column GRANTs. Note we are assuming that
1749 : : * the "default" ACL state for columns is empty.
1750 : : */
1751 [ + + ]: 28114 : if (ACL_NUM(new_acl) > 0)
1752 : : {
1753 : 1597 : values[Anum_pg_attribute_attacl - 1] = PointerGetDatum(new_acl);
1754 : 1597 : need_update = true;
1755 : : }
1756 : : else
1757 : : {
1758 : 26517 : nulls[Anum_pg_attribute_attacl - 1] = true;
1759 : 26517 : need_update = !isNull;
1760 : : }
1761 : 28114 : replaces[Anum_pg_attribute_attacl - 1] = true;
1762 : :
1763 [ + + ]: 28114 : if (need_update)
1764 : : {
1765 : 1663 : newtuple = heap_modify_tuple(attr_tuple, RelationGetDescr(attRelation),
1766 : : values, nulls, replaces);
1767 : :
3381 alvherre@alvh.no-ip. 1768 : 1663 : CatalogTupleUpdate(attRelation, &newtuple->t_self, newtuple);
1769 : :
1770 : : /* Update initial privileges for extensions */
687 tgl@sss.pgh.pa.us 1771 : 1663 : recordExtensionInitPriv(relOid, RelationRelationId, attnum,
3681 sfrost@snowman.net 1772 [ + + ]: 1663 : ACL_NUM(new_acl) > 0 ? new_acl : NULL);
1773 : :
1774 : : /* Update the shared dependency ACL info */
6312 tgl@sss.pgh.pa.us 1775 : 1663 : updateAclDependencies(RelationRelationId, relOid, attnum,
1776 : : ownerId,
1777 : : noldmembers, oldmembers,
1778 : : nnewmembers, newmembers);
1779 : : }
1780 : :
1781 : 28114 : pfree(new_acl);
1782 : :
1783 : 28114 : ReleaseSysCache(attr_tuple);
1784 : 28114 : }
1785 : :
1786 : : /*
1787 : : * This processes both sequences and non-sequences.
1788 : : */
1789 : : static void
7460 alvherre@alvh.no-ip. 1790 : 11284 : ExecGrant_Relation(InternalGrant *istmt)
1791 : : {
1792 : : Relation relation;
1793 : : Relation attRelation;
1794 : : ListCell *cell;
1795 : :
2661 andres@anarazel.de 1796 : 11284 : relation = table_open(RelationRelationId, RowExclusiveLock);
1797 : 11284 : attRelation = table_open(AttributeRelationId, RowExclusiveLock);
1798 : :
7460 alvherre@alvh.no-ip. 1799 [ + - + + : 22600 : foreach(cell, istmt->objects)
+ + ]
1800 : : {
7470 1801 : 11331 : Oid relOid = lfirst_oid(cell);
1802 : : Datum aclDatum;
1803 : : Form_pg_class pg_class_tuple;
1804 : : bool isNull;
1805 : : AclMode this_privileges;
1806 : : AclMode *col_privileges;
1807 : : int num_col_privileges;
1808 : : bool have_col_privileges;
1809 : : Acl *old_acl;
1810 : : Acl *old_rel_acl;
1811 : : int noldmembers;
1812 : : Oid *oldmembers;
1813 : : Oid ownerId;
1814 : : HeapTuple tuple;
1815 : : ListCell *cell_colprivs;
1816 : :
588 noah@leadboat.com 1817 : 11331 : tuple = SearchSysCacheLocked1(RELOID, ObjectIdGetDatum(relOid));
9096 peter_e@gmx.net 1818 [ + + ]: 11331 : if (!HeapTupleIsValid(tuple))
8324 tgl@sss.pgh.pa.us 1819 [ + - ]: 1 : elog(ERROR, "cache lookup failed for relation %u", relOid);
9096 peter_e@gmx.net 1820 : 11330 : pg_class_tuple = (Form_pg_class) GETSTRUCT(tuple);
1821 : :
1822 : : /* Not sensible to grant on an index */
3028 alvherre@alvh.no-ip. 1823 [ + - ]: 11330 : if (pg_class_tuple->relkind == RELKIND_INDEX ||
1824 [ - + ]: 11330 : pg_class_tuple->relkind == RELKIND_PARTITIONED_INDEX)
8324 tgl@sss.pgh.pa.us 1825 [ # # ]:UBC 0 : ereport(ERROR,
1826 : : (errcode(ERRCODE_WRONG_OBJECT_TYPE),
1827 : : errmsg("\"%s\" is an index",
1828 : : NameStr(pg_class_tuple->relname))));
1829 : :
1830 : : /* Composite types aren't tables either */
8008 tgl@sss.pgh.pa.us 1831 [ - + ]:CBC 11330 : if (pg_class_tuple->relkind == RELKIND_COMPOSITE_TYPE)
8008 tgl@sss.pgh.pa.us 1832 [ # # ]:UBC 0 : ereport(ERROR,
1833 : : (errcode(ERRCODE_WRONG_OBJECT_TYPE),
1834 : : errmsg("\"%s\" is a composite type",
1835 : : NameStr(pg_class_tuple->relname))));
1836 : :
1837 : : /* Used GRANT SEQUENCE on a non-sequence? */
3128 peter_e@gmx.net 1838 [ + + ]:CBC 11330 : if (istmt->objtype == OBJECT_SEQUENCE &&
7409 bruce@momjian.us 1839 [ - + ]: 18 : pg_class_tuple->relkind != RELKIND_SEQUENCE)
7409 bruce@momjian.us 1840 [ # # ]:UBC 0 : ereport(ERROR,
1841 : : (errcode(ERRCODE_WRONG_OBJECT_TYPE),
1842 : : errmsg("\"%s\" is not a sequence",
1843 : : NameStr(pg_class_tuple->relname))));
1844 : :
50 peter@eisentraut.org 1845 [ + + ]:GNC 11330 : if (istmt->objtype == OBJECT_PROPGRAPH &&
1846 [ - + ]: 8 : pg_class_tuple->relkind != RELKIND_PROPGRAPH)
50 peter@eisentraut.org 1847 [ # # ]:UNC 0 : ereport(ERROR,
1848 : : (errcode(ERRCODE_WRONG_OBJECT_TYPE),
1849 : : errmsg("\"%s\" is not a property graph",
1850 : : NameStr(pg_class_tuple->relname))));
1851 : :
1852 : : /* Adjust the default permissions based on object type */
7409 bruce@momjian.us 1853 [ + + + - ]:CBC 11330 : if (istmt->all_privs && istmt->privileges == ACL_NO_RIGHTS)
1854 : : {
1855 [ + + ]: 1279 : if (pg_class_tuple->relkind == RELKIND_SEQUENCE)
1856 : 52 : this_privileges = ACL_ALL_RIGHTS_SEQUENCE;
50 peter@eisentraut.org 1857 [ + + ]:GNC 1227 : else if (pg_class_tuple->relkind == RELKIND_PROPGRAPH)
1858 : 3 : this_privileges = ACL_ALL_RIGHTS_PROPGRAPH;
1859 : : else
7409 bruce@momjian.us 1860 :CBC 1224 : this_privileges = ACL_ALL_RIGHTS_RELATION;
1861 : : }
1862 : : else
1863 : 10051 : this_privileges = istmt->privileges;
1864 : :
1865 : : /*
1866 : : * The GRANT TABLE syntax can be used for sequences and non-sequences,
1867 : : * so we have to look at the relkind to determine the supported
1868 : : * permissions. The OR of table and sequence permissions were already
1869 : : * checked.
1870 : : */
3128 peter_e@gmx.net 1871 [ + + ]: 11330 : if (istmt->objtype == OBJECT_TABLE)
1872 : : {
7409 bruce@momjian.us 1873 [ + + ]: 11304 : if (pg_class_tuple->relkind == RELKIND_SEQUENCE)
1874 : : {
1875 : : /*
1876 : : * For backward compatibility, just throw a warning for
1877 : : * invalid sequence permissions when using the non-sequence
1878 : : * GRANT syntax.
1879 : : */
1880 [ - + ]: 98 : if (this_privileges & ~((AclMode) ACL_ALL_RIGHTS_SEQUENCE))
1881 : : {
1882 : : /*
1883 : : * Mention the object name because the user needs to know
1884 : : * which operations succeeded. This is required because
1885 : : * WARNING allows the command to continue.
1886 : : */
7409 bruce@momjian.us 1887 [ # # ]:UBC 0 : ereport(WARNING,
1888 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
1889 : : errmsg("sequence \"%s\" only supports USAGE, SELECT, and UPDATE privileges",
1890 : : NameStr(pg_class_tuple->relname))));
1891 : 0 : this_privileges &= (AclMode) ACL_ALL_RIGHTS_SEQUENCE;
1892 : : }
1893 : : }
1894 : : else
1895 : : {
7409 bruce@momjian.us 1896 [ - + ]:CBC 11206 : if (this_privileges & ~((AclMode) ACL_ALL_RIGHTS_RELATION))
1897 : : {
1898 : : /*
1899 : : * USAGE is the only permission supported by sequences but
1900 : : * not by non-sequences. Don't mention the object name
1901 : : * because we didn't in the combined TABLE | SEQUENCE
1902 : : * check.
1903 : : */
7409 bruce@momjian.us 1904 [ # # ]:UBC 0 : ereport(ERROR,
1905 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
1906 : : errmsg("invalid privilege type %s for table",
1907 : : "USAGE")));
1908 : : }
1909 : : }
1910 : : }
1911 : :
1912 : : /*
1913 : : * Set up array in which we'll accumulate any column privilege bits
1914 : : * that need modification. The array is indexed such that entry [0]
1915 : : * corresponds to FirstLowInvalidHeapAttributeNumber.
1916 : : */
6312 tgl@sss.pgh.pa.us 1917 :CBC 11330 : num_col_privileges = pg_class_tuple->relnatts - FirstLowInvalidHeapAttributeNumber + 1;
1918 : 11330 : col_privileges = (AclMode *) palloc0(num_col_privileges * sizeof(AclMode));
1919 : 11330 : have_col_privileges = false;
1920 : :
1921 : : /*
1922 : : * If we are revoking relation privileges that are also column
1923 : : * privileges, we must implicitly revoke them from each column too,
1924 : : * per SQL spec. (We don't need to implicitly add column privileges
1925 : : * during GRANT because the permissions-checking code always checks
1926 : : * both relation and per-column privileges.)
1927 : : */
1928 [ + + ]: 11330 : if (!istmt->is_grant &&
1929 [ + + ]: 3574 : (this_privileges & ACL_ALL_RIGHTS_COLUMN) != 0)
1930 : : {
1931 : 3525 : expand_all_col_privileges(relOid, pg_class_tuple,
1932 : : this_privileges & ACL_ALL_RIGHTS_COLUMN,
1933 : : col_privileges,
1934 : : num_col_privileges);
1935 : 3525 : have_col_privileges = true;
1936 : : }
1937 : :
1938 : : /*
1939 : : * Get owner ID and working copy of existing ACL. If there's no ACL,
1940 : : * substitute the proper default.
1941 : : */
8008 1942 : 11330 : ownerId = pg_class_tuple->relowner;
7512 1943 : 11330 : aclDatum = SysCacheGetAttr(RELOID, tuple, Anum_pg_class_relacl,
1944 : : &isNull);
1945 [ + + ]: 11330 : if (isNull)
1946 : : {
5603 rhaas@postgresql.org 1947 [ + + + ]: 5825 : switch (pg_class_tuple->relkind)
1948 : : {
1949 : 63 : case RELKIND_SEQUENCE:
3128 peter_e@gmx.net 1950 : 63 : old_acl = acldefault(OBJECT_SEQUENCE, ownerId);
5603 rhaas@postgresql.org 1951 : 63 : break;
50 peter@eisentraut.org 1952 :GNC 22 : case RELKIND_PROPGRAPH:
1953 : 22 : old_acl = acldefault(OBJECT_PROPGRAPH, ownerId);
1954 : 22 : break;
5603 rhaas@postgresql.org 1955 :CBC 5740 : default:
3128 peter_e@gmx.net 1956 : 5740 : old_acl = acldefault(OBJECT_TABLE, ownerId);
5603 rhaas@postgresql.org 1957 : 5740 : break;
1958 : : }
1959 : : /* There are no old member roles according to the catalogs */
5874 tgl@sss.pgh.pa.us 1960 : 5825 : noldmembers = 0;
1961 : 5825 : oldmembers = NULL;
1962 : : }
1963 : : else
1964 : : {
7512 1965 : 5505 : old_acl = DatumGetAclPCopy(aclDatum);
1966 : : /* Get the roles mentioned in the existing ACL */
5874 1967 : 5505 : noldmembers = aclmembers(old_acl, &oldmembers);
1968 : : }
1969 : :
1970 : : /* Need an extra copy of original rel ACL for column handling */
6312 1971 : 11330 : old_rel_acl = aclcopy(old_acl);
1972 : :
1973 : : /*
1974 : : * Handle relation-level privileges, if any were specified
1975 : : */
1976 [ + + ]: 11330 : if (this_privileges != ACL_NO_RIGHTS)
1977 : : {
1978 : : AclMode avail_goptions;
1979 : : Acl *new_acl;
1980 : : Oid grantorId;
1981 : : HeapTuple newtuple;
1389 peter@eisentraut.org 1982 : 11039 : Datum values[Natts_pg_class] = {0};
1983 : 11039 : bool nulls[Natts_pg_class] = {0};
1984 : 11039 : bool replaces[Natts_pg_class] = {0};
1985 : : int nnewmembers;
1986 : : Oid *newmembers;
1987 : : ObjectType objtype;
1988 : :
1989 : : /* Determine ID to do the grant as, and available grant options */
47 nathan@postgresql.or 1990 :GNC 11039 : select_best_grantor(istmt->grantor, this_privileges,
1991 : : old_acl, ownerId,
1992 : : &grantorId, &avail_goptions);
1993 : :
5603 rhaas@postgresql.org 1994 [ + + ]:CBC 11035 : switch (pg_class_tuple->relkind)
1995 : : {
1996 : 116 : case RELKIND_SEQUENCE:
3076 peter_e@gmx.net 1997 : 116 : objtype = OBJECT_SEQUENCE;
5603 rhaas@postgresql.org 1998 : 116 : break;
1999 : 10919 : default:
3076 peter_e@gmx.net 2000 : 10919 : objtype = OBJECT_TABLE;
5603 rhaas@postgresql.org 2001 : 10919 : break;
2002 : : }
2003 : :
2004 : : /*
2005 : : * Restrict the privileges to what we can actually grant, and emit
2006 : : * the standards-mandated warning and error messages.
2007 : : */
2008 : : this_privileges =
6312 tgl@sss.pgh.pa.us 2009 : 11035 : restrict_and_check_grant(istmt->is_grant, avail_goptions,
2010 : 11035 : istmt->all_privs, this_privileges,
2011 : : relOid, grantorId, objtype,
2012 : 11035 : NameStr(pg_class_tuple->relname),
2013 : : 0, NULL);
2014 : :
2015 : : /*
2016 : : * Generate new ACL.
2017 : : */
2018 : 11031 : new_acl = merge_acl_with_grant(old_acl,
2019 : 11031 : istmt->is_grant,
2020 : 11031 : istmt->grant_option,
2021 : : istmt->behavior,
2022 : : istmt->grantees,
2023 : : this_privileges,
2024 : : grantorId,
2025 : : ownerId);
2026 : :
2027 : : /*
2028 : : * We need the members of both old and new ACLs so we can correct
2029 : : * the shared dependency information.
2030 : : */
2031 : 11027 : nnewmembers = aclmembers(new_acl, &newmembers);
2032 : :
2033 : : /* finished building new ACL value, now insert it */
2034 : 11027 : replaces[Anum_pg_class_relacl - 1] = true;
2035 : 11027 : values[Anum_pg_class_relacl - 1] = PointerGetDatum(new_acl);
2036 : :
2037 : 11027 : newtuple = heap_modify_tuple(tuple, RelationGetDescr(relation),
2038 : : values, nulls, replaces);
2039 : :
3381 alvherre@alvh.no-ip. 2040 : 11027 : CatalogTupleUpdate(relation, &newtuple->t_self, newtuple);
588 noah@leadboat.com 2041 : 11025 : UnlockTuple(relation, &tuple->t_self, InplaceUpdateTupleLock);
2042 : :
2043 : : /* Update initial privileges for extensions */
687 tgl@sss.pgh.pa.us 2044 : 11025 : recordExtensionInitPriv(relOid, RelationRelationId, 0, new_acl);
2045 : :
2046 : : /* Update the shared dependency ACL info */
6312 2047 : 11025 : updateAclDependencies(RelationRelationId, relOid, 0,
2048 : : ownerId,
2049 : : noldmembers, oldmembers,
2050 : : nnewmembers, newmembers);
2051 : :
2052 : 11025 : pfree(new_acl);
2053 : : }
2054 : : else
588 noah@leadboat.com 2055 : 291 : UnlockTuple(relation, &tuple->t_self, InplaceUpdateTupleLock);
2056 : :
2057 : : /*
2058 : : * Handle column-level privileges, if any were specified or implied.
2059 : : * We first expand the user-specified column privileges into the
2060 : : * array, and then iterate over all nonempty array entries.
2061 : : */
6312 tgl@sss.pgh.pa.us 2062 [ + + + + : 11619 : foreach(cell_colprivs, istmt->col_privs)
+ + ]
2063 : : {
6172 bruce@momjian.us 2064 : 303 : AccessPriv *col_privs = (AccessPriv *) lfirst(cell_colprivs);
2065 : :
6312 tgl@sss.pgh.pa.us 2066 [ + + ]: 303 : if (col_privs->priv_name == NULL)
2067 : 12 : this_privileges = ACL_ALL_RIGHTS_COLUMN;
2068 : : else
2069 : 291 : this_privileges = string_to_privilege(col_privs->priv_name);
2070 : :
2071 [ - + ]: 303 : if (this_privileges & ~((AclMode) ACL_ALL_RIGHTS_COLUMN))
6312 tgl@sss.pgh.pa.us 2072 [ # # ]:UBC 0 : ereport(ERROR,
2073 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
2074 : : errmsg("invalid privilege type %s for column",
2075 : : privilege_to_string(this_privileges))));
2076 : :
6312 tgl@sss.pgh.pa.us 2077 [ - + ]:CBC 303 : if (pg_class_tuple->relkind == RELKIND_SEQUENCE &&
6312 tgl@sss.pgh.pa.us 2078 [ # # ]:UBC 0 : this_privileges & ~((AclMode) ACL_SELECT))
2079 : : {
2080 : : /*
2081 : : * The only column privilege allowed on sequences is SELECT.
2082 : : * This is a warning not error because we do it that way for
2083 : : * relation-level privileges.
2084 : : */
2085 [ # # ]: 0 : ereport(WARNING,
2086 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
2087 : : errmsg("sequence \"%s\" only supports SELECT column privileges",
2088 : : NameStr(pg_class_tuple->relname))));
2089 : :
2090 : 0 : this_privileges &= (AclMode) ACL_SELECT;
2091 : : }
2092 : :
6312 tgl@sss.pgh.pa.us 2093 :CBC 303 : expand_col_privileges(col_privs->cols, relOid,
2094 : : this_privileges,
2095 : : col_privileges,
2096 : : num_col_privileges);
2097 : 303 : have_col_privileges = true;
2098 : : }
2099 : :
2100 [ + + ]: 11316 : if (have_col_privileges)
2101 : : {
2102 : : AttrNumber i;
2103 : :
2104 [ + + ]: 45732 : for (i = 0; i < num_col_privileges; i++)
2105 : : {
2106 [ + + ]: 41916 : if (col_privileges[i] == ACL_NO_RIGHTS)
2107 : 13802 : continue;
2108 : 28114 : ExecGrant_Attribute(istmt,
2109 : : relOid,
2110 : 28114 : NameStr(pg_class_tuple->relname),
2111 : 28114 : i + FirstLowInvalidHeapAttributeNumber,
2112 : : ownerId,
2113 : 28114 : col_privileges[i],
2114 : : attRelation,
2115 : : old_rel_acl);
2116 : : }
2117 : : }
2118 : :
2119 : 11316 : pfree(old_rel_acl);
2120 : 11316 : pfree(col_privileges);
2121 : :
7607 2122 : 11316 : ReleaseSysCache(tuple);
2123 : :
2124 : : /* prevent error when processing duplicate objects */
7571 bruce@momjian.us 2125 : 11316 : CommandCounterIncrement();
2126 : : }
2127 : :
2661 andres@anarazel.de 2128 : 11269 : table_close(attRelation, RowExclusiveLock);
2129 : 11269 : table_close(relation, RowExclusiveLock);
10892 scrappy@hub.org 2130 : 11269 : }
2131 : :
2132 : : static void
1239 peter@eisentraut.org 2133 : 1359 : ExecGrant_common(InternalGrant *istmt, Oid classid, AclMode default_privs,
2134 : : void (*object_check) (InternalGrant *istmt, HeapTuple tuple))
2135 : : {
2136 : : SysCacheIdentifier cacheid;
2137 : : Relation relation;
2138 : : ListCell *cell;
2139 : :
7460 alvherre@alvh.no-ip. 2140 [ + + + - ]: 1359 : if (istmt->all_privs && istmt->privileges == ACL_NO_RIGHTS)
1239 peter@eisentraut.org 2141 : 490 : istmt->privileges = default_privs;
2142 : :
2143 : 1359 : cacheid = get_object_catcache_oid(classid);
2144 : :
2145 : 1359 : relation = table_open(classid, RowExclusiveLock);
2146 : :
6346 peter_e@gmx.net 2147 [ + - + + : 2781 : foreach(cell, istmt->objects)
+ + ]
2148 : : {
1239 peter@eisentraut.org 2149 : 1458 : Oid objectid = lfirst_oid(cell);
2150 : : Datum aclDatum;
2151 : : Datum nameDatum;
2152 : : bool isNull;
2153 : : AclMode avail_goptions;
2154 : : AclMode this_privileges;
2155 : : Acl *old_acl;
2156 : : Acl *new_acl;
2157 : : Oid grantorId;
2158 : : Oid ownerId;
2159 : : HeapTuple tuple;
2160 : : HeapTuple newtuple;
2161 : 1458 : Datum *values = palloc0_array(Datum, RelationGetDescr(relation)->natts);
2162 : 1458 : bool *nulls = palloc0_array(bool, RelationGetDescr(relation)->natts);
2163 : 1458 : bool *replaces = palloc0_array(bool, RelationGetDescr(relation)->natts);
2164 : : int noldmembers;
2165 : : int nnewmembers;
2166 : : Oid *oldmembers;
2167 : : Oid *newmembers;
2168 : :
588 noah@leadboat.com 2169 : 1458 : tuple = SearchSysCacheLocked1(cacheid, ObjectIdGetDatum(objectid));
6346 peter_e@gmx.net 2170 [ - + ]: 1458 : if (!HeapTupleIsValid(tuple))
1239 peter@eisentraut.org 2171 [ # # ]:UBC 0 : elog(ERROR, "cache lookup failed for %s %u", get_object_class_descr(classid), objectid);
2172 : :
2173 : : /*
2174 : : * Additional object-type-specific checks
2175 : : */
1239 peter@eisentraut.org 2176 [ + + ]:CBC 1458 : if (object_check)
2177 : 119 : object_check(istmt, tuple);
2178 : :
2179 : : /*
2180 : : * Get owner ID and working copy of existing ACL. If there's no ACL,
2181 : : * substitute the proper default.
2182 : : */
1137 dgustafsson@postgres 2183 : 1446 : ownerId = DatumGetObjectId(SysCacheGetAttrNotNull(cacheid,
2184 : : tuple,
2185 : 1446 : get_object_attnum_owner(classid)));
1239 peter@eisentraut.org 2186 : 1446 : aclDatum = SysCacheGetAttr(cacheid,
2187 : : tuple,
2188 : 1446 : get_object_attnum_acl(classid),
2189 : : &isNull);
6346 peter_e@gmx.net 2190 [ + + ]: 1446 : if (isNull)
2191 : : {
1239 peter@eisentraut.org 2192 : 867 : old_acl = acldefault(get_object_type(classid, objectid), ownerId);
2193 : : /* There are no old member roles according to the catalogs */
5874 tgl@sss.pgh.pa.us 2194 : 867 : noldmembers = 0;
2195 : 867 : oldmembers = NULL;
2196 : : }
2197 : : else
2198 : : {
6346 peter_e@gmx.net 2199 : 579 : old_acl = DatumGetAclPCopy(aclDatum);
2200 : : /* Get the roles mentioned in the existing ACL */
5874 tgl@sss.pgh.pa.us 2201 : 579 : noldmembers = aclmembers(old_acl, &oldmembers);
2202 : : }
2203 : :
2204 : : /* Determine ID to do the grant as, and available grant options */
47 nathan@postgresql.or 2205 :GNC 1446 : select_best_grantor(istmt->grantor, istmt->privileges,
2206 : : old_acl, ownerId,
2207 : : &grantorId, &avail_goptions);
2208 : :
1137 dgustafsson@postgres 2209 :CBC 1446 : nameDatum = SysCacheGetAttrNotNull(cacheid, tuple,
2210 : 1446 : get_object_attnum_name(classid));
2211 : :
2212 : : /*
2213 : : * Restrict the privileges to what we can actually grant, and emit the
2214 : : * standards-mandated warning and error messages.
2215 : : */
2216 : : this_privileges =
6346 peter_e@gmx.net 2217 : 2892 : restrict_and_check_grant(istmt->is_grant, avail_goptions,
2218 : 1446 : istmt->all_privs, istmt->privileges,
2219 : : objectid, grantorId, get_object_type(classid, objectid),
1239 peter@eisentraut.org 2220 : 1446 : NameStr(*DatumGetName(nameDatum)),
2221 : : 0, NULL);
2222 : :
2223 : : /*
2224 : : * Generate new ACL.
2225 : : */
6346 peter_e@gmx.net 2226 : 1426 : new_acl = merge_acl_with_grant(old_acl, istmt->is_grant,
2227 : 1426 : istmt->grant_option, istmt->behavior,
2228 : : istmt->grantees, this_privileges,
2229 : : grantorId, ownerId);
2230 : :
2231 : : /*
2232 : : * We need the members of both old and new ACLs so we can correct the
2233 : : * shared dependency information.
2234 : : */
2235 : 1422 : nnewmembers = aclmembers(new_acl, &newmembers);
2236 : :
2237 : : /* finished building new ACL value, now insert it */
1239 peter@eisentraut.org 2238 : 1422 : replaces[get_object_attnum_acl(classid) - 1] = true;
2239 : 1422 : values[get_object_attnum_acl(classid) - 1] = PointerGetDatum(new_acl);
2240 : :
6346 peter_e@gmx.net 2241 : 1422 : newtuple = heap_modify_tuple(tuple, RelationGetDescr(relation), values,
2242 : : nulls, replaces);
2243 : :
3381 alvherre@alvh.no-ip. 2244 : 1422 : CatalogTupleUpdate(relation, &newtuple->t_self, newtuple);
588 noah@leadboat.com 2245 : 1422 : UnlockTuple(relation, &tuple->t_self, InplaceUpdateTupleLock);
2246 : :
2247 : : /* Update initial privileges for extensions */
687 tgl@sss.pgh.pa.us 2248 : 1422 : recordExtensionInitPriv(objectid, classid, 0, new_acl);
2249 : :
2250 : : /* Update the shared dependency ACL info */
1239 peter@eisentraut.org 2251 : 1422 : updateAclDependencies(classid,
2252 : : objectid, 0,
2253 : : ownerId,
2254 : : noldmembers, oldmembers,
2255 : : nnewmembers, newmembers);
2256 : :
6346 peter_e@gmx.net 2257 : 1422 : ReleaseSysCache(tuple);
2258 : :
2259 : 1422 : pfree(new_acl);
2260 : :
2261 : : /* prevent error when processing duplicate objects */
2262 : 1422 : CommandCounterIncrement();
2263 : : }
2264 : :
2661 andres@anarazel.de 2265 : 1323 : table_close(relation, RowExclusiveLock);
6346 peter_e@gmx.net 2266 : 1323 : }
2267 : :
2268 : : static void
1239 peter@eisentraut.org 2269 : 27 : ExecGrant_Language_check(InternalGrant *istmt, HeapTuple tuple)
2270 : : {
2271 : : Form_pg_language pg_language_tuple;
2272 : :
2273 : 27 : pg_language_tuple = (Form_pg_language) GETSTRUCT(tuple);
2274 : :
2275 [ + + ]: 27 : if (!pg_language_tuple->lanpltrusted)
2276 [ + - ]: 4 : ereport(ERROR,
2277 : : (errcode(ERRCODE_WRONG_OBJECT_TYPE),
2278 : : errmsg("language \"%s\" is not trusted",
2279 : : NameStr(pg_language_tuple->lanname)),
2280 : : errdetail("GRANT and REVOKE are not allowed on untrusted languages, "
2281 : : "because only superusers can use untrusted languages.")));
6346 peter_e@gmx.net 2282 : 23 : }
2283 : :
2284 : : static void
1239 peter@eisentraut.org 2285 : 58 : ExecGrant_Largeobject(InternalGrant *istmt)
2286 : : {
2287 : : Relation relation;
2288 : : ListCell *cell;
2289 : :
7460 alvherre@alvh.no-ip. 2290 [ + + + - ]: 58 : if (istmt->all_privs && istmt->privileges == ACL_NO_RIGHTS)
1239 peter@eisentraut.org 2291 : 29 : istmt->privileges = ACL_ALL_RIGHTS_LARGEOBJECT;
2292 : :
2293 : 58 : relation = table_open(LargeObjectMetadataRelationId,
2294 : : RowExclusiveLock);
2295 : :
7460 alvherre@alvh.no-ip. 2296 [ + - + + : 120 : foreach(cell, istmt->objects)
+ + ]
2297 : : {
1239 peter@eisentraut.org 2298 : 62 : Oid loid = lfirst_oid(cell);
2299 : : Form_pg_largeobject_metadata form_lo_meta;
2300 : : char loname[NAMEDATALEN];
2301 : : Datum aclDatum;
2302 : : bool isNull;
2303 : : AclMode avail_goptions;
2304 : : AclMode this_privileges;
2305 : : Acl *old_acl;
2306 : : Acl *new_acl;
2307 : : Oid grantorId;
2308 : : Oid ownerId;
2309 : : HeapTuple newtuple;
2310 : 62 : Datum values[Natts_pg_largeobject_metadata] = {0};
2311 : 62 : bool nulls[Natts_pg_largeobject_metadata] = {0};
2312 : 62 : bool replaces[Natts_pg_largeobject_metadata] = {0};
2313 : : int noldmembers;
2314 : : int nnewmembers;
2315 : : Oid *oldmembers;
2316 : : Oid *newmembers;
2317 : : ScanKeyData entry[1];
2318 : : SysScanDesc scan;
2319 : : HeapTuple tuple;
2320 : :
2321 : : /* There's no syscache for pg_largeobject_metadata */
2322 : 62 : ScanKeyInit(&entry[0],
2323 : : Anum_pg_largeobject_metadata_oid,
2324 : : BTEqualStrategyNumber, F_OIDEQ,
2325 : : ObjectIdGetDatum(loid));
2326 : :
2327 : 62 : scan = systable_beginscan(relation,
2328 : : LargeObjectMetadataOidIndexId, true,
2329 : : NULL, 1, entry);
2330 : :
2331 : 62 : tuple = systable_getnext(scan);
8842 peter_e@gmx.net 2332 [ - + ]: 62 : if (!HeapTupleIsValid(tuple))
1239 peter@eisentraut.org 2333 [ # # ]:UBC 0 : elog(ERROR, "could not find tuple for large object %u", loid);
2334 : :
1239 peter@eisentraut.org 2335 :CBC 62 : form_lo_meta = (Form_pg_largeobject_metadata) GETSTRUCT(tuple);
2336 : :
2337 : : /*
2338 : : * Get owner ID and working copy of existing ACL. If there's no ACL,
2339 : : * substitute the proper default.
2340 : : */
2341 : 62 : ownerId = form_lo_meta->lomowner;
2342 : 62 : aclDatum = heap_getattr(tuple,
2343 : : Anum_pg_largeobject_metadata_lomacl,
2344 : : RelationGetDescr(relation), &isNull);
7512 tgl@sss.pgh.pa.us 2345 [ + + ]: 62 : if (isNull)
2346 : : {
1239 peter@eisentraut.org 2347 : 38 : old_acl = acldefault(OBJECT_LARGEOBJECT, ownerId);
2348 : : /* There are no old member roles according to the catalogs */
5874 tgl@sss.pgh.pa.us 2349 : 38 : noldmembers = 0;
2350 : 38 : oldmembers = NULL;
2351 : : }
2352 : : else
2353 : : {
7512 2354 : 24 : old_acl = DatumGetAclPCopy(aclDatum);
2355 : : /* Get the roles mentioned in the existing ACL */
5874 2356 : 24 : noldmembers = aclmembers(old_acl, &oldmembers);
2357 : : }
2358 : :
2359 : : /* Determine ID to do the grant as, and available grant options */
47 nathan@postgresql.or 2360 :GNC 62 : select_best_grantor(istmt->grantor, istmt->privileges,
2361 : : old_acl, ownerId,
2362 : : &grantorId, &avail_goptions);
2363 : :
2364 : : /*
2365 : : * Restrict the privileges to what we can actually grant, and emit the
2366 : : * standards-mandated warning and error messages.
2367 : : */
1239 peter@eisentraut.org 2368 :CBC 62 : snprintf(loname, sizeof(loname), "large object %u", loid);
2369 : : this_privileges =
7460 alvherre@alvh.no-ip. 2370 : 62 : restrict_and_check_grant(istmt->is_grant, avail_goptions,
2371 : 62 : istmt->all_privs, istmt->privileges,
2372 : : loid, grantorId, OBJECT_LARGEOBJECT,
2373 : : loname, 0, NULL);
2374 : :
2375 : : /*
2376 : : * Generate new ACL.
2377 : : */
2378 : 62 : new_acl = merge_acl_with_grant(old_acl, istmt->is_grant,
2379 : 62 : istmt->grant_option, istmt->behavior,
2380 : : istmt->grantees, this_privileges,
2381 : : grantorId, ownerId);
2382 : :
2383 : : /*
2384 : : * We need the members of both old and new ACLs so we can correct the
2385 : : * shared dependency information.
2386 : : */
7607 tgl@sss.pgh.pa.us 2387 : 62 : nnewmembers = aclmembers(new_acl, &newmembers);
2388 : :
2389 : : /* finished building new ACL value, now insert it */
1239 peter@eisentraut.org 2390 : 62 : replaces[Anum_pg_largeobject_metadata_lomacl - 1] = true;
2391 : : values[Anum_pg_largeobject_metadata_lomacl - 1]
2392 : 62 : = PointerGetDatum(new_acl);
2393 : :
2394 : 62 : newtuple = heap_modify_tuple(tuple, RelationGetDescr(relation),
2395 : : values, nulls, replaces);
2396 : :
3381 alvherre@alvh.no-ip. 2397 : 62 : CatalogTupleUpdate(relation, &newtuple->t_self, newtuple);
2398 : :
2399 : : /* Update initial privileges for extensions */
687 tgl@sss.pgh.pa.us 2400 : 62 : recordExtensionInitPriv(loid, LargeObjectRelationId, 0, new_acl);
2401 : :
2402 : : /* Update the shared dependency ACL info */
1239 peter@eisentraut.org 2403 : 62 : updateAclDependencies(LargeObjectRelationId,
2404 : : form_lo_meta->oid, 0,
2405 : : ownerId,
2406 : : noldmembers, oldmembers,
2407 : : nnewmembers, newmembers);
2408 : :
2409 : 62 : systable_endscan(scan);
2410 : :
8842 peter_e@gmx.net 2411 : 62 : pfree(new_acl);
2412 : :
2413 : : /* prevent error when processing duplicate objects */
7571 bruce@momjian.us 2414 : 62 : CommandCounterIncrement();
2415 : : }
2416 : :
2661 andres@anarazel.de 2417 : 58 : table_close(relation, RowExclusiveLock);
8842 peter_e@gmx.net 2418 : 58 : }
2419 : :
2420 : : static void
1239 peter@eisentraut.org 2421 : 92 : ExecGrant_Type_check(InternalGrant *istmt, HeapTuple tuple)
2422 : : {
2423 : : Form_pg_type pg_type_tuple;
2424 : :
2425 : 92 : pg_type_tuple = (Form_pg_type) GETSTRUCT(tuple);
2426 : :
2427 : : /* Disallow GRANT on dependent types */
2428 [ + + + - ]: 92 : if (IsTrueArrayType(pg_type_tuple))
2429 [ + - ]: 4 : ereport(ERROR,
2430 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
2431 : : errmsg("cannot set privileges of array types"),
2432 : : errhint("Set the privileges of the element type instead.")));
811 tgl@sss.pgh.pa.us 2433 [ + + ]: 88 : if (pg_type_tuple->typtype == TYPTYPE_MULTIRANGE)
2434 [ + - ]: 4 : ereport(ERROR,
2435 : : (errcode(ERRCODE_INVALID_GRANT_OPERATION),
2436 : : errmsg("cannot set privileges of multirange types"),
2437 : : errhint("Set the privileges of the range type instead.")));
5250 peter_e@gmx.net 2438 : 84 : }
2439 : :
2440 : : static void
1490 tgl@sss.pgh.pa.us 2441 : 48 : ExecGrant_Parameter(InternalGrant *istmt)
2442 : : {
2443 : : Relation relation;
2444 : : ListCell *cell;
2445 : :
2446 [ + + + - ]: 48 : if (istmt->all_privs && istmt->privileges == ACL_NO_RIGHTS)
2447 : 21 : istmt->privileges = ACL_ALL_RIGHTS_PARAMETER_ACL;
2448 : :
2449 : 48 : relation = table_open(ParameterAclRelationId, RowExclusiveLock);
2450 : :
2451 [ + + + + : 115 : foreach(cell, istmt->objects)
+ + ]
2452 : : {
2453 : 67 : Oid parameterId = lfirst_oid(cell);
2454 : : Datum nameDatum;
2455 : : const char *parname;
2456 : : Datum aclDatum;
2457 : : bool isNull;
2458 : : AclMode avail_goptions;
2459 : : AclMode this_privileges;
2460 : : Acl *old_acl;
2461 : : Acl *new_acl;
2462 : : Oid grantorId;
2463 : : Oid ownerId;
2464 : : HeapTuple tuple;
2465 : : int noldmembers;
2466 : : int nnewmembers;
2467 : : Oid *oldmembers;
2468 : : Oid *newmembers;
2469 : :
2470 : 67 : tuple = SearchSysCache1(PARAMETERACLOID, ObjectIdGetDatum(parameterId));
2471 [ - + ]: 67 : if (!HeapTupleIsValid(tuple))
1490 tgl@sss.pgh.pa.us 2472 [ # # ]:UBC 0 : elog(ERROR, "cache lookup failed for parameter ACL %u",
2473 : : parameterId);
2474 : :
2475 : : /* We'll need the GUC's name */
1137 dgustafsson@postgres 2476 :CBC 67 : nameDatum = SysCacheGetAttrNotNull(PARAMETERACLOID, tuple,
2477 : : Anum_pg_parameter_acl_parname);
1490 tgl@sss.pgh.pa.us 2478 : 67 : parname = TextDatumGetCString(nameDatum);
2479 : :
2480 : : /* Treat all parameters as belonging to the bootstrap superuser. */
2481 : 67 : ownerId = BOOTSTRAP_SUPERUSERID;
2482 : :
2483 : : /*
2484 : : * Get working copy of existing ACL. If there's no ACL, substitute the
2485 : : * proper default.
2486 : : */
2487 : 67 : aclDatum = SysCacheGetAttr(PARAMETERACLOID, tuple,
2488 : : Anum_pg_parameter_acl_paracl,
2489 : : &isNull);
2490 : :
2491 [ + + ]: 67 : if (isNull)
2492 : : {
2493 : 33 : old_acl = acldefault(istmt->objtype, ownerId);
2494 : : /* There are no old member roles according to the catalogs */
2495 : 33 : noldmembers = 0;
2496 : 33 : oldmembers = NULL;
2497 : : }
2498 : : else
2499 : : {
2500 : 34 : old_acl = DatumGetAclPCopy(aclDatum);
2501 : : /* Get the roles mentioned in the existing ACL */
2502 : 34 : noldmembers = aclmembers(old_acl, &oldmembers);
2503 : : }
2504 : :
2505 : : /* Determine ID to do the grant as, and available grant options */
47 nathan@postgresql.or 2506 :GNC 67 : select_best_grantor(istmt->grantor, istmt->privileges,
2507 : : old_acl, ownerId,
2508 : : &grantorId, &avail_goptions);
2509 : :
2510 : : /*
2511 : : * Restrict the privileges to what we can actually grant, and emit the
2512 : : * standards-mandated warning and error messages.
2513 : : */
2514 : : this_privileges =
1490 tgl@sss.pgh.pa.us 2515 :CBC 67 : restrict_and_check_grant(istmt->is_grant, avail_goptions,
2516 : 67 : istmt->all_privs, istmt->privileges,
2517 : : parameterId, grantorId,
2518 : : OBJECT_PARAMETER_ACL,
2519 : : parname,
2520 : : 0, NULL);
2521 : :
2522 : : /*
2523 : : * Generate new ACL.
2524 : : */
2525 : 67 : new_acl = merge_acl_with_grant(old_acl, istmt->is_grant,
2526 : 67 : istmt->grant_option, istmt->behavior,
2527 : : istmt->grantees, this_privileges,
2528 : : grantorId, ownerId);
2529 : :
2530 : : /*
2531 : : * We need the members of both old and new ACLs so we can correct the
2532 : : * shared dependency information.
2533 : : */
2534 : 67 : nnewmembers = aclmembers(new_acl, &newmembers);
2535 : :
2536 : : /*
2537 : : * If the new ACL is equal to the default, we don't need the catalog
2538 : : * entry any longer. Delete it rather than updating it, to avoid
2539 : : * leaving a degenerate entry.
2540 : : */
2541 [ + + ]: 67 : if (aclequal(new_acl, acldefault(istmt->objtype, ownerId)))
2542 : : {
2543 : 29 : CatalogTupleDelete(relation, &tuple->t_self);
2544 : : }
2545 : : else
2546 : : {
2547 : : /* finished building new ACL value, now insert it */
2548 : : HeapTuple newtuple;
1389 peter@eisentraut.org 2549 : 38 : Datum values[Natts_pg_parameter_acl] = {0};
2550 : 38 : bool nulls[Natts_pg_parameter_acl] = {0};
2551 : 38 : bool replaces[Natts_pg_parameter_acl] = {0};
2552 : :
1490 tgl@sss.pgh.pa.us 2553 : 38 : replaces[Anum_pg_parameter_acl_paracl - 1] = true;
2554 : 38 : values[Anum_pg_parameter_acl_paracl - 1] = PointerGetDatum(new_acl);
2555 : :
2556 : 38 : newtuple = heap_modify_tuple(tuple, RelationGetDescr(relation),
2557 : : values, nulls, replaces);
2558 : :
2559 : 38 : CatalogTupleUpdate(relation, &newtuple->t_self, newtuple);
2560 : : }
2561 : :
2562 : : /* Update initial privileges for extensions */
2563 : 67 : recordExtensionInitPriv(parameterId, ParameterAclRelationId, 0,
2564 : : new_acl);
2565 : :
2566 : : /* Update the shared dependency ACL info */
2567 : 67 : updateAclDependencies(ParameterAclRelationId, parameterId, 0,
2568 : : ownerId,
2569 : : noldmembers, oldmembers,
2570 : : nnewmembers, newmembers);
2571 : :
2572 : 67 : ReleaseSysCache(tuple);
2573 : 67 : pfree(new_acl);
2574 : :
2575 : : /* prevent error when processing duplicate objects */
2576 : 67 : CommandCounterIncrement();
2577 : : }
2578 : :
2579 : 48 : table_close(relation, RowExclusiveLock);
2580 : 48 : }
2581 : :
2582 : :
2583 : : static AclMode
7616 2584 : 11427 : string_to_privilege(const char *privname)
2585 : : {
2586 [ + + ]: 11427 : if (strcmp(privname, "insert") == 0)
2587 : 161 : return ACL_INSERT;
2588 [ + + ]: 11266 : if (strcmp(privname, "select") == 0)
2589 : 9692 : return ACL_SELECT;
2590 [ + + ]: 1574 : if (strcmp(privname, "update") == 0)
2591 : 298 : return ACL_UPDATE;
2592 [ + + ]: 1276 : if (strcmp(privname, "delete") == 0)
2593 : 91 : return ACL_DELETE;
6448 2594 [ + + ]: 1185 : if (strcmp(privname, "truncate") == 0)
2595 : 29 : return ACL_TRUNCATE;
7616 2596 [ + + ]: 1156 : if (strcmp(privname, "references") == 0)
2597 : 9 : return ACL_REFERENCES;
2598 [ + + ]: 1147 : if (strcmp(privname, "trigger") == 0)
2599 : 5 : return ACL_TRIGGER;
2600 [ + + ]: 1142 : if (strcmp(privname, "execute") == 0)
2601 : 262 : return ACL_EXECUTE;
2602 [ + + ]: 880 : if (strcmp(privname, "usage") == 0)
2603 : 460 : return ACL_USAGE;
2604 [ + + ]: 420 : if (strcmp(privname, "create") == 0)
2605 : 202 : return ACL_CREATE;
2606 [ + + ]: 218 : if (strcmp(privname, "temporary") == 0)
2607 : 120 : return ACL_CREATE_TEMP;
2608 [ + + ]: 98 : if (strcmp(privname, "temp") == 0)
2609 : 1 : return ACL_CREATE_TEMP;
7310 2610 [ + + ]: 97 : if (strcmp(privname, "connect") == 0)
bruce@momjian.us 2611 : 24 : return ACL_CONNECT;
1490 tgl@sss.pgh.pa.us 2612 [ + + ]: 73 : if (strcmp(privname, "set") == 0)
2613 : 24 : return ACL_SET;
2614 [ + + ]: 49 : if (strcmp(privname, "alter system") == 0)
2615 : 12 : return ACL_ALTER_SYSTEM;
783 nathan@postgresql.or 2616 [ + - ]: 37 : if (strcmp(privname, "maintain") == 0)
2617 : 37 : return ACL_MAINTAIN;
7616 tgl@sss.pgh.pa.us 2618 [ # # ]:UBC 0 : ereport(ERROR,
2619 : : (errcode(ERRCODE_SYNTAX_ERROR),
2620 : : errmsg("unrecognized privilege type \"%s\"", privname)));
2621 : : return 0; /* appease compiler */
2622 : : }
2623 : :
2624 : : static const char *
8780 tgl@sss.pgh.pa.us 2625 :CBC 20 : privilege_to_string(AclMode privilege)
2626 : : {
2627 [ + - + - : 20 : switch (privilege)
- - - - +
- - - - -
- - ]
2628 : : {
2629 : 4 : case ACL_INSERT:
2630 : 4 : return "INSERT";
8780 tgl@sss.pgh.pa.us 2631 :UBC 0 : case ACL_SELECT:
2632 : 0 : return "SELECT";
8780 tgl@sss.pgh.pa.us 2633 :GBC 4 : case ACL_UPDATE:
2634 : 4 : return "UPDATE";
8780 tgl@sss.pgh.pa.us 2635 :UBC 0 : case ACL_DELETE:
2636 : 0 : return "DELETE";
6448 2637 : 0 : case ACL_TRUNCATE:
2638 : 0 : return "TRUNCATE";
8780 2639 : 0 : case ACL_REFERENCES:
2640 : 0 : return "REFERENCES";
2641 : 0 : case ACL_TRIGGER:
2642 : 0 : return "TRIGGER";
2643 : 0 : case ACL_EXECUTE:
2644 : 0 : return "EXECUTE";
8780 tgl@sss.pgh.pa.us 2645 :CBC 12 : case ACL_USAGE:
2646 : 12 : return "USAGE";
8780 tgl@sss.pgh.pa.us 2647 :UBC 0 : case ACL_CREATE:
2648 : 0 : return "CREATE";
2649 : 0 : case ACL_CREATE_TEMP:
2650 : 0 : return "TEMP";
7310 bruce@momjian.us 2651 : 0 : case ACL_CONNECT:
tgl@sss.pgh.pa.us 2652 : 0 : return "CONNECT";
1490 2653 : 0 : case ACL_SET:
2654 : 0 : return "SET";
2655 : 0 : case ACL_ALTER_SYSTEM:
2656 : 0 : return "ALTER SYSTEM";
783 nathan@postgresql.or 2657 : 0 : case ACL_MAINTAIN:
2658 : 0 : return "MAINTAIN";
8780 tgl@sss.pgh.pa.us 2659 : 0 : default:
8324 2660 [ # # ]: 0 : elog(ERROR, "unrecognized privilege: %d", (int) privilege);
2661 : : }
2662 : : return NULL; /* appease compiler */
2663 : : }
2664 : :
2665 : : /*
2666 : : * Standardized reporting of aclcheck permissions failures.
2667 : : *
2668 : : * Note: we do not double-quote the %s's below, because many callers
2669 : : * supply strings that might be already quoted.
2670 : : */
2671 : : void
3076 peter_e@gmx.net 2672 :CBC 1914 : aclcheck_error(AclResult aclerr, ObjectType objtype,
2673 : : const char *objectname)
2674 : : {
8324 tgl@sss.pgh.pa.us 2675 [ - + + - ]: 1914 : switch (aclerr)
2676 : : {
8774 tgl@sss.pgh.pa.us 2677 :UBC 0 : case ACLCHECK_OK:
2678 : : /* no error, so return to caller */
2679 : 0 : break;
8774 tgl@sss.pgh.pa.us 2680 :CBC 1540 : case ACLCHECK_NO_PRIV:
2681 : : {
3028 2682 : 1540 : const char *msg = "???";
2683 : :
3076 peter_e@gmx.net 2684 [ + - - - : 1540 : switch (objtype)
+ - - - +
+ + + + +
- + - - -
- - + + -
- + - - -
+ + - - +
+ - - ]
2685 : : {
2686 : 4 : case OBJECT_AGGREGATE:
2687 : 4 : msg = gettext_noop("permission denied for aggregate %s");
2688 : 4 : break;
3076 peter_e@gmx.net 2689 :UBC 0 : case OBJECT_COLLATION:
2690 : 0 : msg = gettext_noop("permission denied for collation %s");
2691 : 0 : break;
2692 : 0 : case OBJECT_COLUMN:
2693 : 0 : msg = gettext_noop("permission denied for column %s");
2694 : 0 : break;
2695 : 0 : case OBJECT_CONVERSION:
2696 : 0 : msg = gettext_noop("permission denied for conversion %s");
2697 : 0 : break;
3076 peter_e@gmx.net 2698 :CBC 13 : case OBJECT_DATABASE:
2699 : 13 : msg = gettext_noop("permission denied for database %s");
2700 : 13 : break;
3076 peter_e@gmx.net 2701 :UBC 0 : case OBJECT_DOMAIN:
2702 : 0 : msg = gettext_noop("permission denied for domain %s");
2703 : 0 : break;
2704 : 0 : case OBJECT_EVENT_TRIGGER:
2705 : 0 : msg = gettext_noop("permission denied for event trigger %s");
2706 : 0 : break;
2707 : 0 : case OBJECT_EXTENSION:
2708 : 0 : msg = gettext_noop("permission denied for extension %s");
2709 : 0 : break;
3076 peter_e@gmx.net 2710 :CBC 29 : case OBJECT_FDW:
2711 : 29 : msg = gettext_noop("permission denied for foreign-data wrapper %s");
2712 : 29 : break;
2713 : 17 : case OBJECT_FOREIGN_SERVER:
2714 : 17 : msg = gettext_noop("permission denied for foreign server %s");
2715 : 17 : break;
2716 : 1 : case OBJECT_FOREIGN_TABLE:
2717 : 1 : msg = gettext_noop("permission denied for foreign table %s");
2718 : 1 : break;
2719 : 61 : case OBJECT_FUNCTION:
2720 : 61 : msg = gettext_noop("permission denied for function %s");
2721 : 61 : break;
2722 : 9 : case OBJECT_INDEX:
2723 : 9 : msg = gettext_noop("permission denied for index %s");
2724 : 9 : break;
2725 : 5 : case OBJECT_LANGUAGE:
2726 : 5 : msg = gettext_noop("permission denied for language %s");
2727 : 5 : break;
3076 peter_e@gmx.net 2728 :UBC 0 : case OBJECT_LARGEOBJECT:
2729 : 0 : msg = gettext_noop("permission denied for large object %s");
2730 : 0 : break;
3076 peter_e@gmx.net 2731 :CBC 4 : case OBJECT_MATVIEW:
2732 : 4 : msg = gettext_noop("permission denied for materialized view %s");
2733 : 4 : break;
3076 peter_e@gmx.net 2734 :UBC 0 : case OBJECT_OPCLASS:
2735 : 0 : msg = gettext_noop("permission denied for operator class %s");
2736 : 0 : break;
2737 : 0 : case OBJECT_OPERATOR:
2738 : 0 : msg = gettext_noop("permission denied for operator %s");
2739 : 0 : break;
2740 : 0 : case OBJECT_OPFAMILY:
2741 : 0 : msg = gettext_noop("permission denied for operator family %s");
2742 : 0 : break;
1490 tgl@sss.pgh.pa.us 2743 : 0 : case OBJECT_PARAMETER_ACL:
2744 : 0 : msg = gettext_noop("permission denied for parameter %s");
2745 : 0 : break;
3076 peter_e@gmx.net 2746 : 0 : case OBJECT_POLICY:
2747 : 0 : msg = gettext_noop("permission denied for policy %s");
2748 : 0 : break;
3076 peter_e@gmx.net 2749 :CBC 8 : case OBJECT_PROCEDURE:
2750 : 8 : msg = gettext_noop("permission denied for procedure %s");
2751 : 8 : break;
50 peter@eisentraut.org 2752 :GNC 8 : case OBJECT_PROPGRAPH:
2753 : 8 : msg = gettext_noop("permission denied for property graph %s");
2754 : 8 : break;
3076 peter_e@gmx.net 2755 :UBC 0 : case OBJECT_PUBLICATION:
2756 : 0 : msg = gettext_noop("permission denied for publication %s");
2757 : 0 : break;
2758 : 0 : case OBJECT_ROUTINE:
2759 : 0 : msg = gettext_noop("permission denied for routine %s");
2760 : 0 : break;
3076 peter_e@gmx.net 2761 :CBC 25 : case OBJECT_SCHEMA:
2762 : 25 : msg = gettext_noop("permission denied for schema %s");
2763 : 25 : break;
3076 peter_e@gmx.net 2764 :UBC 0 : case OBJECT_SEQUENCE:
2765 : 0 : msg = gettext_noop("permission denied for sequence %s");
2766 : 0 : break;
2767 : 0 : case OBJECT_STATISTIC_EXT:
2768 : 0 : msg = gettext_noop("permission denied for statistics object %s");
2769 : 0 : break;
2770 : 0 : case OBJECT_SUBSCRIPTION:
2771 : 0 : msg = gettext_noop("permission denied for subscription %s");
2772 : 0 : break;
3076 peter_e@gmx.net 2773 :CBC 987 : case OBJECT_TABLE:
2774 : 987 : msg = gettext_noop("permission denied for table %s");
2775 : 987 : break;
2776 : 10 : case OBJECT_TABLESPACE:
2777 : 10 : msg = gettext_noop("permission denied for tablespace %s");
2778 : 10 : break;
3076 peter_e@gmx.net 2779 :UBC 0 : case OBJECT_TSCONFIGURATION:
2780 : 0 : msg = gettext_noop("permission denied for text search configuration %s");
2781 : 0 : break;
2782 : 0 : case OBJECT_TSDICTIONARY:
2783 : 0 : msg = gettext_noop("permission denied for text search dictionary %s");
2784 : 0 : break;
3076 peter_e@gmx.net 2785 :CBC 80 : case OBJECT_TYPE:
2786 : 80 : msg = gettext_noop("permission denied for type %s");
2787 : 80 : break;
2788 : 279 : case OBJECT_VIEW:
2789 : 279 : msg = gettext_noop("permission denied for view %s");
2790 : 279 : break;
2791 : : /* these currently aren't used */
3076 peter_e@gmx.net 2792 :UBC 0 : case OBJECT_ACCESS_METHOD:
2793 : : case OBJECT_AMOP:
2794 : : case OBJECT_AMPROC:
2795 : : case OBJECT_ATTRIBUTE:
2796 : : case OBJECT_CAST:
2797 : : case OBJECT_DEFAULT:
2798 : : case OBJECT_DEFACL:
2799 : : case OBJECT_DOMCONSTRAINT:
2800 : : case OBJECT_PUBLICATION_NAMESPACE:
2801 : : case OBJECT_PUBLICATION_REL:
2802 : : case OBJECT_ROLE:
2803 : : case OBJECT_RULE:
2804 : : case OBJECT_TABCONSTRAINT:
2805 : : case OBJECT_TRANSFORM:
2806 : : case OBJECT_TRIGGER:
2807 : : case OBJECT_TSPARSER:
2808 : : case OBJECT_TSTEMPLATE:
2809 : : case OBJECT_USER_MAPPING:
1274 peter@eisentraut.org 2810 [ # # ]: 0 : elog(ERROR, "unsupported object type: %d", objtype);
2811 : : }
2812 : :
3076 peter_e@gmx.net 2813 [ + - ]:CBC 1540 : ereport(ERROR,
2814 : : (errcode(ERRCODE_INSUFFICIENT_PRIVILEGE),
2815 : : errmsg(msg, objectname)));
2816 : : break;
2817 : : }
8774 tgl@sss.pgh.pa.us 2818 : 374 : case ACLCHECK_NOT_OWNER:
2819 : : {
3028 2820 : 374 : const char *msg = "???";
2821 : :
3076 peter_e@gmx.net 2822 [ + - + - : 374 : switch (objtype)
- - - + +
- + + + -
- + + + +
+ + - + +
+ + + + +
- + + + -
- ]
2823 : : {
2824 : 4 : case OBJECT_AGGREGATE:
2825 : 4 : msg = gettext_noop("must be owner of aggregate %s");
2826 : 4 : break;
3076 peter_e@gmx.net 2827 :UBC 0 : case OBJECT_COLLATION:
2828 : 0 : msg = gettext_noop("must be owner of collation %s");
2829 : 0 : break;
3076 peter_e@gmx.net 2830 :CBC 12 : case OBJECT_CONVERSION:
2831 : 12 : msg = gettext_noop("must be owner of conversion %s");
2832 : 12 : break;
3076 peter_e@gmx.net 2833 :UBC 0 : case OBJECT_DATABASE:
2834 : 0 : msg = gettext_noop("must be owner of database %s");
2835 : 0 : break;
2836 : 0 : case OBJECT_DOMAIN:
2837 : 0 : msg = gettext_noop("must be owner of domain %s");
2838 : 0 : break;
2839 : 0 : case OBJECT_EVENT_TRIGGER:
2840 : 0 : msg = gettext_noop("must be owner of event trigger %s");
2841 : 0 : break;
2842 : 0 : case OBJECT_EXTENSION:
2843 : 0 : msg = gettext_noop("must be owner of extension %s");
2844 : 0 : break;
3076 peter_e@gmx.net 2845 :CBC 12 : case OBJECT_FDW:
2846 : 12 : msg = gettext_noop("must be owner of foreign-data wrapper %s");
2847 : 12 : break;
2848 : 76 : case OBJECT_FOREIGN_SERVER:
2849 : 76 : msg = gettext_noop("must be owner of foreign server %s");
2850 : 76 : break;
3076 peter_e@gmx.net 2851 :UBC 0 : case OBJECT_FOREIGN_TABLE:
2852 : 0 : msg = gettext_noop("must be owner of foreign table %s");
2853 : 0 : break;
3076 peter_e@gmx.net 2854 :CBC 28 : case OBJECT_FUNCTION:
2855 : 28 : msg = gettext_noop("must be owner of function %s");
2856 : 28 : break;
2857 : 16 : case OBJECT_INDEX:
2858 : 16 : msg = gettext_noop("must be owner of index %s");
2859 : 16 : break;
2860 : 8 : case OBJECT_LANGUAGE:
2861 : 8 : msg = gettext_noop("must be owner of language %s");
2862 : 8 : break;
3076 peter_e@gmx.net 2863 :UBC 0 : case OBJECT_LARGEOBJECT:
2864 : 0 : msg = gettext_noop("must be owner of large object %s");
2865 : 0 : break;
2866 : 0 : case OBJECT_MATVIEW:
2867 : 0 : msg = gettext_noop("must be owner of materialized view %s");
2868 : 0 : break;
3076 peter_e@gmx.net 2869 :CBC 12 : case OBJECT_OPCLASS:
2870 : 12 : msg = gettext_noop("must be owner of operator class %s");
2871 : 12 : break;
2872 : 12 : case OBJECT_OPERATOR:
2873 : 12 : msg = gettext_noop("must be owner of operator %s");
2874 : 12 : break;
2875 : 12 : case OBJECT_OPFAMILY:
2876 : 12 : msg = gettext_noop("must be owner of operator family %s");
2877 : 12 : break;
2878 : 4 : case OBJECT_PROCEDURE:
2879 : 4 : msg = gettext_noop("must be owner of procedure %s");
2880 : 4 : break;
50 peter@eisentraut.org 2881 :GNC 12 : case OBJECT_PROPGRAPH:
2882 : 12 : msg = gettext_noop("must be owner of property graph %s");
2883 : 12 : break;
3076 peter_e@gmx.net 2884 :CBC 4 : case OBJECT_PUBLICATION:
2885 : 4 : msg = gettext_noop("must be owner of publication %s");
2886 : 4 : break;
3076 peter_e@gmx.net 2887 :UBC 0 : case OBJECT_ROUTINE:
2888 : 0 : msg = gettext_noop("must be owner of routine %s");
2889 : 0 : break;
3076 peter_e@gmx.net 2890 :CBC 4 : case OBJECT_SEQUENCE:
2891 : 4 : msg = gettext_noop("must be owner of sequence %s");
2892 : 4 : break;
2893 : 4 : case OBJECT_SUBSCRIPTION:
2894 : 4 : msg = gettext_noop("must be owner of subscription %s");
2895 : 4 : break;
2896 : 66 : case OBJECT_TABLE:
2897 : 66 : msg = gettext_noop("must be owner of table %s");
2898 : 66 : break;
2899 : 4 : case OBJECT_TYPE:
2900 : 4 : msg = gettext_noop("must be owner of type %s");
2901 : 4 : break;
2902 : 12 : case OBJECT_VIEW:
2903 : 12 : msg = gettext_noop("must be owner of view %s");
2904 : 12 : break;
2905 : 12 : case OBJECT_SCHEMA:
2906 : 12 : msg = gettext_noop("must be owner of schema %s");
2907 : 12 : break;
2908 : 24 : case OBJECT_STATISTIC_EXT:
2909 : 24 : msg = gettext_noop("must be owner of statistics object %s");
2910 : 24 : break;
3076 peter_e@gmx.net 2911 :UBC 0 : case OBJECT_TABLESPACE:
2912 : 0 : msg = gettext_noop("must be owner of tablespace %s");
2913 : 0 : break;
3076 peter_e@gmx.net 2914 :CBC 12 : case OBJECT_TSCONFIGURATION:
2915 : 12 : msg = gettext_noop("must be owner of text search configuration %s");
2916 : 12 : break;
2917 : 12 : case OBJECT_TSDICTIONARY:
2918 : 12 : msg = gettext_noop("must be owner of text search dictionary %s");
2919 : 12 : break;
2920 : :
2921 : : /*
2922 : : * Special cases: For these, the error message talks
2923 : : * about "relation", because that's where the
2924 : : * ownership is attached. See also
2925 : : * check_object_ownership().
2926 : : */
2927 : 12 : case OBJECT_COLUMN:
2928 : : case OBJECT_POLICY:
2929 : : case OBJECT_RULE:
2930 : : case OBJECT_TABCONSTRAINT:
2931 : : case OBJECT_TRIGGER:
2932 : 12 : msg = gettext_noop("must be owner of relation %s");
2933 : 12 : break;
2934 : : /* these currently aren't used */
3076 peter_e@gmx.net 2935 :UBC 0 : case OBJECT_ACCESS_METHOD:
2936 : : case OBJECT_AMOP:
2937 : : case OBJECT_AMPROC:
2938 : : case OBJECT_ATTRIBUTE:
2939 : : case OBJECT_CAST:
2940 : : case OBJECT_DEFAULT:
2941 : : case OBJECT_DEFACL:
2942 : : case OBJECT_DOMCONSTRAINT:
2943 : : case OBJECT_PARAMETER_ACL:
2944 : : case OBJECT_PUBLICATION_NAMESPACE:
2945 : : case OBJECT_PUBLICATION_REL:
2946 : : case OBJECT_ROLE:
2947 : : case OBJECT_TRANSFORM:
2948 : : case OBJECT_TSPARSER:
2949 : : case OBJECT_TSTEMPLATE:
2950 : : case OBJECT_USER_MAPPING:
1274 peter@eisentraut.org 2951 [ # # ]: 0 : elog(ERROR, "unsupported object type: %d", objtype);
2952 : : }
2953 : :
3076 peter_e@gmx.net 2954 [ + - ]:CBC 374 : ereport(ERROR,
2955 : : (errcode(ERRCODE_INSUFFICIENT_PRIVILEGE),
2956 : : errmsg(msg, objectname)));
2957 : : break;
2958 : : }
8774 tgl@sss.pgh.pa.us 2959 :UBC 0 : default:
8324 2960 [ # # ]: 0 : elog(ERROR, "unrecognized AclResult: %d", (int) aclerr);
2961 : : break;
2962 : : }
8774 2963 : 0 : }
2964 : :
2965 : :
2966 : : void
3076 peter_e@gmx.net 2967 : 0 : aclcheck_error_col(AclResult aclerr, ObjectType objtype,
2968 : : const char *objectname, const char *colname)
2969 : : {
6312 tgl@sss.pgh.pa.us 2970 [ # # # # ]: 0 : switch (aclerr)
2971 : : {
2972 : 0 : case ACLCHECK_OK:
2973 : : /* no error, so return to caller */
2974 : 0 : break;
2975 : 0 : case ACLCHECK_NO_PRIV:
2976 [ # # ]: 0 : ereport(ERROR,
2977 : : (errcode(ERRCODE_INSUFFICIENT_PRIVILEGE),
2978 : : errmsg("permission denied for column \"%s\" of relation \"%s\"",
2979 : : colname, objectname)));
2980 : : break;
2981 : 0 : case ACLCHECK_NOT_OWNER:
2982 : : /* relation msg is OK since columns don't have separate owners */
3076 peter_e@gmx.net 2983 : 0 : aclcheck_error(aclerr, objtype, objectname);
6312 tgl@sss.pgh.pa.us 2984 : 0 : break;
2985 : 0 : default:
2986 [ # # ]: 0 : elog(ERROR, "unrecognized AclResult: %d", (int) aclerr);
2987 : : break;
2988 : : }
2989 : 0 : }
2990 : :
2991 : :
2992 : : /*
2993 : : * Special common handling for types: use element type instead of array type,
2994 : : * and format nicely
2995 : : */
2996 : : void
5072 peter_e@gmx.net 2997 :CBC 80 : aclcheck_error_type(AclResult aclerr, Oid typeOid)
2998 : : {
4724 bruce@momjian.us 2999 : 80 : Oid element_type = get_element_type(typeOid);
3000 : :
3076 peter_e@gmx.net 3001 [ + + ]: 80 : aclcheck_error(aclerr, OBJECT_TYPE, format_type_be(element_type ? element_type : typeOid));
5072 peter_e@gmx.net 3002 :UBC 0 : }
3003 : :
3004 : :
3005 : : /*
3006 : : * Relay for the various pg_*_mask routines depending on object kind
3007 : : */
3008 : : static AclMode
1269 peter@eisentraut.org 3009 :CBC 48 : pg_aclmask(ObjectType objtype, Oid object_oid, AttrNumber attnum, Oid roleid,
3010 : : AclMode mask, AclMaskHow how)
3011 : : {
3076 peter_e@gmx.net 3012 [ - + - - : 48 : switch (objtype)
+ - - - -
- + + - +
- ]
3013 : : {
3076 peter_e@gmx.net 3014 :UBC 0 : case OBJECT_COLUMN:
3015 : : return
1269 peter@eisentraut.org 3016 : 0 : pg_class_aclmask(object_oid, roleid, mask, how) |
3017 : 0 : pg_attribute_aclmask(object_oid, attnum, roleid, mask, how);
3076 peter_e@gmx.net 3018 :CBC 12 : case OBJECT_TABLE:
3019 : : case OBJECT_SEQUENCE:
3020 : : case OBJECT_PROPGRAPH:
1269 peter@eisentraut.org 3021 : 12 : return pg_class_aclmask(object_oid, roleid, mask, how);
3076 peter_e@gmx.net 3022 :UBC 0 : case OBJECT_DATABASE:
1269 peter@eisentraut.org 3023 : 0 : return object_aclmask(DatabaseRelationId, object_oid, roleid, mask, how);
3076 peter_e@gmx.net 3024 : 0 : case OBJECT_FUNCTION:
1269 peter@eisentraut.org 3025 : 0 : return object_aclmask(ProcedureRelationId, object_oid, roleid, mask, how);
3076 peter_e@gmx.net 3026 :CBC 4 : case OBJECT_LANGUAGE:
1269 peter@eisentraut.org 3027 : 4 : return object_aclmask(LanguageRelationId, object_oid, roleid, mask, how);
3076 peter_e@gmx.net 3028 :UBC 0 : case OBJECT_LARGEOBJECT:
1269 peter@eisentraut.org 3029 : 0 : return pg_largeobject_aclmask_snapshot(object_oid, roleid,
3030 : : mask, how, NULL);
1490 tgl@sss.pgh.pa.us 3031 : 0 : case OBJECT_PARAMETER_ACL:
1269 peter@eisentraut.org 3032 : 0 : return pg_parameter_acl_aclmask(object_oid, roleid, mask, how);
3076 peter_e@gmx.net 3033 : 0 : case OBJECT_SCHEMA:
1269 peter@eisentraut.org 3034 : 0 : return object_aclmask(NamespaceRelationId, object_oid, roleid, mask, how);
3076 peter_e@gmx.net 3035 : 0 : case OBJECT_STATISTIC_EXT:
3278 tgl@sss.pgh.pa.us 3036 [ # # ]: 0 : elog(ERROR, "grantable rights not supported for statistics objects");
3037 : : /* not reached, but keep compiler quiet */
3038 : : return ACL_NO_RIGHTS;
3076 peter_e@gmx.net 3039 : 0 : case OBJECT_TABLESPACE:
1269 peter@eisentraut.org 3040 : 0 : return object_aclmask(TableSpaceRelationId, object_oid, roleid, mask, how);
3076 peter_e@gmx.net 3041 :CBC 12 : case OBJECT_FDW:
1269 peter@eisentraut.org 3042 : 12 : return object_aclmask(ForeignDataWrapperRelationId, object_oid, roleid, mask, how);
3076 peter_e@gmx.net 3043 : 12 : case OBJECT_FOREIGN_SERVER:
1269 peter@eisentraut.org 3044 : 12 : return object_aclmask(ForeignServerRelationId, object_oid, roleid, mask, how);
3076 peter_e@gmx.net 3045 :UBC 0 : case OBJECT_EVENT_TRIGGER:
5039 rhaas@postgresql.org 3046 [ # # ]: 0 : elog(ERROR, "grantable rights not supported for event triggers");
3047 : : /* not reached, but keep compiler quiet */
3048 : : return ACL_NO_RIGHTS;
3076 peter_e@gmx.net 3049 :CBC 8 : case OBJECT_TYPE:
1269 peter@eisentraut.org 3050 : 8 : return object_aclmask(TypeRelationId, object_oid, roleid, mask, how);
7460 alvherre@alvh.no-ip. 3051 :UBC 0 : default:
1274 peter@eisentraut.org 3052 [ # # ]: 0 : elog(ERROR, "unrecognized object type: %d",
3053 : : (int) objtype);
3054 : : /* not reached, but keep compiler quiet */
3055 : : return ACL_NO_RIGHTS;
3056 : : }
3057 : : }
3058 : :
3059 : :
3060 : : /* ****************************************************************
3061 : : * Exported routines for examining a user's privileges for various objects
3062 : : *
3063 : : * See aclmask() for a description of the common API for these functions.
3064 : : * ****************************************************************
3065 : : */
3066 : :
3067 : : /*
3068 : : * Generic routine for examining a user's privileges for an object
3069 : : */
3070 : : static AclMode
1269 peter@eisentraut.org 3071 :CBC 36 : object_aclmask(Oid classid, Oid objectid, Oid roleid,
3072 : : AclMode mask, AclMaskHow how)
3073 : : {
934 tgl@sss.pgh.pa.us 3074 : 36 : return object_aclmask_ext(classid, objectid, roleid, mask, how, NULL);
3075 : : }
3076 : :
3077 : : /*
3078 : : * Generic routine for examining a user's privileges for an object,
3079 : : * with is_missing
3080 : : */
3081 : : static AclMode
3082 : 2099889 : object_aclmask_ext(Oid classid, Oid objectid, Oid roleid,
3083 : : AclMode mask, AclMaskHow how,
3084 : : bool *is_missing)
3085 : : {
3086 : : SysCacheIdentifier cacheid;
3087 : : AclMode result;
3088 : : HeapTuple tuple;
3089 : : Datum aclDatum;
3090 : : bool isNull;
3091 : : Acl *acl;
3092 : : Oid ownerId;
3093 : :
3094 : : /* Special cases */
1269 peter@eisentraut.org 3095 [ + + + ]: 2099889 : switch (classid)
3096 : : {
3097 : 635605 : case NamespaceRelationId:
934 tgl@sss.pgh.pa.us 3098 : 635605 : return pg_namespace_aclmask_ext(objectid, roleid, mask, how,
3099 : : is_missing);
1269 peter@eisentraut.org 3100 : 213713 : case TypeRelationId:
934 tgl@sss.pgh.pa.us 3101 : 213713 : return pg_type_aclmask_ext(objectid, roleid, mask, how,
3102 : : is_missing);
3103 : : }
3104 : :
3105 : : /* Even more special cases */
1269 peter@eisentraut.org 3106 [ - + ]: 1250571 : Assert(classid != RelationRelationId); /* should use pg_class_acl* */
3107 [ - + ]: 1250571 : Assert(classid != LargeObjectMetadataRelationId); /* should use
3108 : : * pg_largeobject_acl* */
3109 : :
3110 : : /* Superusers bypass all permission checking. */
3111 [ + + ]: 1250571 : if (superuser_arg(roleid))
3112 : 1218338 : return mask;
3113 : :
3114 : : /*
3115 : : * Get the object's ACL from its catalog
3116 : : */
3117 : :
3118 : 32233 : cacheid = get_object_catcache_oid(classid);
3119 : :
3120 : 32233 : tuple = SearchSysCache1(cacheid, ObjectIdGetDatum(objectid));
3121 [ - + ]: 32233 : if (!HeapTupleIsValid(tuple))
3122 : : {
934 tgl@sss.pgh.pa.us 3123 [ # # ]:UBC 0 : if (is_missing != NULL)
3124 : : {
3125 : : /* return "no privileges" instead of throwing an error */
3126 : 0 : *is_missing = true;
3127 : 0 : return 0;
3128 : : }
3129 : : else
475 peter@eisentraut.org 3130 [ # # ]: 0 : elog(ERROR, "cache lookup failed for %s %u",
3131 : : get_object_class_descr(classid), objectid);
3132 : : }
3133 : :
1137 dgustafsson@postgres 3134 :CBC 32233 : ownerId = DatumGetObjectId(SysCacheGetAttrNotNull(cacheid,
3135 : : tuple,
3136 : 32233 : get_object_attnum_owner(classid)));
3137 : :
1269 peter@eisentraut.org 3138 : 32233 : aclDatum = SysCacheGetAttr(cacheid, tuple, get_object_attnum_acl(classid),
3139 : : &isNull);
3140 [ + + ]: 32233 : if (isNull)
3141 : : {
3142 : : /* No ACL, so build default ACL */
3143 : 30512 : acl = acldefault(get_object_type(classid, objectid), ownerId);
3144 : 30512 : aclDatum = (Datum) 0;
3145 : : }
3146 : : else
3147 : : {
3148 : : /* detoast ACL if necessary */
3149 : 1721 : acl = DatumGetAclP(aclDatum);
3150 : : }
3151 : :
3152 : 32233 : result = aclmask(acl, roleid, ownerId, mask, how);
3153 : :
3154 : : /* if we have a detoasted copy, free it */
152 peter@eisentraut.org 3155 [ + - + - ]:GNC 32233 : if (acl && acl != DatumGetPointer(aclDatum))
1269 peter@eisentraut.org 3156 :CBC 32233 : pfree(acl);
3157 : :
3158 : 32233 : ReleaseSysCache(tuple);
3159 : :
3160 : 32233 : return result;
3161 : : }
3162 : :
3163 : : /*
3164 : : * Routine for examining a user's privileges for a column
3165 : : *
3166 : : * Note: this considers only privileges granted specifically on the column.
3167 : : * It is caller's responsibility to take relation-level privileges into account
3168 : : * as appropriate. (For the same reason, we have no special case for
3169 : : * superuser-ness here.)
3170 : : */
3171 : : static AclMode
6312 tgl@sss.pgh.pa.us 3172 :UBC 0 : pg_attribute_aclmask(Oid table_oid, AttrNumber attnum, Oid roleid,
3173 : : AclMode mask, AclMaskHow how)
3174 : : {
1861 mail@joeconway.com 3175 : 0 : return pg_attribute_aclmask_ext(table_oid, attnum, roleid,
3176 : : mask, how, NULL);
3177 : : }
3178 : :
3179 : : /*
3180 : : * Routine for examining a user's privileges for a column, with is_missing
3181 : : */
3182 : : static AclMode
1861 mail@joeconway.com 3183 :CBC 381138 : pg_attribute_aclmask_ext(Oid table_oid, AttrNumber attnum, Oid roleid,
3184 : : AclMode mask, AclMaskHow how, bool *is_missing)
3185 : : {
3186 : : AclMode result;
3187 : : HeapTuple classTuple;
3188 : : HeapTuple attTuple;
3189 : : Form_pg_class classForm;
3190 : : Form_pg_attribute attributeForm;
3191 : : Datum aclDatum;
3192 : : bool isNull;
3193 : : Acl *acl;
3194 : : Oid ownerId;
3195 : :
3196 : : /*
3197 : : * First, get the column's ACL from its pg_attribute entry
3198 : : */
5924 rhaas@postgresql.org 3199 : 381138 : attTuple = SearchSysCache2(ATTNUM,
3200 : : ObjectIdGetDatum(table_oid),
3201 : : Int16GetDatum(attnum));
6312 tgl@sss.pgh.pa.us 3202 [ + + ]: 381138 : if (!HeapTupleIsValid(attTuple))
3203 : : {
1861 mail@joeconway.com 3204 [ + - ]: 20 : if (is_missing != NULL)
3205 : : {
3206 : : /* return "no privileges" instead of throwing an error */
3207 : 20 : *is_missing = true;
3208 : 20 : return 0;
3209 : : }
3210 : : else
1861 mail@joeconway.com 3211 [ # # ]:UBC 0 : ereport(ERROR,
3212 : : (errcode(ERRCODE_UNDEFINED_COLUMN),
3213 : : errmsg("attribute %d of relation with OID %u does not exist",
3214 : : attnum, table_oid)));
3215 : : }
3216 : :
6312 tgl@sss.pgh.pa.us 3217 :CBC 381118 : attributeForm = (Form_pg_attribute) GETSTRUCT(attTuple);
3218 : :
3219 : : /* Check dropped columns, too */
3220 [ + + ]: 381118 : if (attributeForm->attisdropped)
3221 : : {
1861 mail@joeconway.com 3222 [ + - ]: 8 : if (is_missing != NULL)
3223 : : {
3224 : : /* return "no privileges" instead of throwing an error */
3225 : 8 : *is_missing = true;
3226 : 8 : ReleaseSysCache(attTuple);
3227 : 8 : return 0;
3228 : : }
3229 : : else
1861 mail@joeconway.com 3230 [ # # ]:UBC 0 : ereport(ERROR,
3231 : : (errcode(ERRCODE_UNDEFINED_COLUMN),
3232 : : errmsg("attribute %d of relation with OID %u does not exist",
3233 : : attnum, table_oid)));
3234 : : }
3235 : :
6312 tgl@sss.pgh.pa.us 3236 :CBC 381110 : aclDatum = SysCacheGetAttr(ATTNUM, attTuple, Anum_pg_attribute_attacl,
3237 : : &isNull);
3238 : :
3239 : : /*
3240 : : * Here we hard-wire knowledge that the default ACL for a column grants no
3241 : : * privileges, so that we can fall out quickly in the very common case
3242 : : * where attacl is null.
3243 : : */
3244 [ + + ]: 381110 : if (isNull)
3245 : : {
6297 3246 : 375040 : ReleaseSysCache(attTuple);
3247 : 375040 : return 0;
3248 : : }
3249 : :
3250 : : /*
3251 : : * Must get the relation's ownerId from pg_class. Since we already found
3252 : : * a pg_attribute entry, the only likely reason for this to fail is that a
3253 : : * concurrent DROP of the relation committed since then (which could only
3254 : : * happen if we don't have lock on the relation). Treat that similarly to
3255 : : * not finding the attribute entry.
3256 : : */
5924 rhaas@postgresql.org 3257 : 6070 : classTuple = SearchSysCache1(RELOID, ObjectIdGetDatum(table_oid));
6297 tgl@sss.pgh.pa.us 3258 [ - + ]: 6070 : if (!HeapTupleIsValid(classTuple))
3259 : : {
6297 tgl@sss.pgh.pa.us 3260 :UBC 0 : ReleaseSysCache(attTuple);
934 3261 [ # # ]: 0 : if (is_missing != NULL)
3262 : : {
3263 : : /* return "no privileges" instead of throwing an error */
3264 : 0 : *is_missing = true;
3265 : 0 : return 0;
3266 : : }
3267 : : else
3268 [ # # ]: 0 : ereport(ERROR,
3269 : : (errcode(ERRCODE_UNDEFINED_TABLE),
3270 : : errmsg("relation with OID %u does not exist",
3271 : : table_oid)));
3272 : : }
6297 tgl@sss.pgh.pa.us 3273 :CBC 6070 : classForm = (Form_pg_class) GETSTRUCT(classTuple);
3274 : :
3275 : 6070 : ownerId = classForm->relowner;
3276 : :
3277 : 6070 : ReleaseSysCache(classTuple);
3278 : :
3279 : : /* detoast column's ACL if necessary */
3280 : 6070 : acl = DatumGetAclP(aclDatum);
3281 : :
6312 3282 : 6070 : result = aclmask(acl, roleid, ownerId, mask, how);
3283 : :
3284 : : /* if we have a detoasted copy, free it */
152 peter@eisentraut.org 3285 [ + - + - ]:GNC 6070 : if (acl && acl != DatumGetPointer(aclDatum))
6312 tgl@sss.pgh.pa.us 3286 :CBC 6070 : pfree(acl);
3287 : :
3288 : 6070 : ReleaseSysCache(attTuple);
3289 : :
3290 : 6070 : return result;
3291 : : }
3292 : :
3293 : : /*
3294 : : * Exported routine for examining a user's privileges for a table
3295 : : */
3296 : : AclMode
7616 3297 : 398341 : pg_class_aclmask(Oid table_oid, Oid roleid,
3298 : : AclMode mask, AclMaskHow how)
3299 : : {
1861 mail@joeconway.com 3300 : 398341 : return pg_class_aclmask_ext(table_oid, roleid, mask, how, NULL);
3301 : : }
3302 : :
3303 : : /*
3304 : : * Routine for examining a user's privileges for a table, with is_missing
3305 : : */
3306 : : static AclMode
3307 : 2402854 : pg_class_aclmask_ext(Oid table_oid, Oid roleid, AclMode mask,
3308 : : AclMaskHow how, bool *is_missing)
3309 : : {
3310 : : AclMode result;
3311 : : HeapTuple tuple;
3312 : : Form_pg_class classForm;
3313 : : Datum aclDatum;
3314 : : bool isNull;
3315 : : Acl *acl;
3316 : : Oid ownerId;
3317 : :
3318 : : /*
3319 : : * Must get the relation's tuple from pg_class
3320 : : */
5924 rhaas@postgresql.org 3321 : 2402854 : tuple = SearchSysCache1(RELOID, ObjectIdGetDatum(table_oid));
8811 tgl@sss.pgh.pa.us 3322 [ + + ]: 2402854 : if (!HeapTupleIsValid(tuple))
3323 : : {
1861 mail@joeconway.com 3324 [ + - ]: 5 : if (is_missing != NULL)
3325 : : {
3326 : : /* return "no privileges" instead of throwing an error */
3327 : 5 : *is_missing = true;
3328 : 5 : return 0;
3329 : : }
3330 : : else
1861 mail@joeconway.com 3331 [ # # ]:UBC 0 : ereport(ERROR,
3332 : : (errcode(ERRCODE_UNDEFINED_TABLE),
3333 : : errmsg("relation with OID %u does not exist",
3334 : : table_oid)));
3335 : : }
3336 : :
8147 tgl@sss.pgh.pa.us 3337 :CBC 2402849 : classForm = (Form_pg_class) GETSTRUCT(tuple);
3338 : :
3339 : : /*
3340 : : * Deny anyone permission to update a system catalog unless
3341 : : * pg_authid.rolsuper is set.
3342 : : *
3343 : : * As of 7.4 we have some updatable system views; those shouldn't be
3344 : : * protected in this way. Assume the view rules can take care of
3345 : : * themselves. ACL_USAGE is if we ever have system sequences.
3346 : : */
6448 3347 [ + + + + ]: 2793211 : if ((mask & (ACL_INSERT | ACL_UPDATE | ACL_DELETE | ACL_TRUNCATE | ACL_USAGE)) &&
4541 rhaas@postgresql.org 3348 : 390362 : IsSystemClass(table_oid, classForm) &&
8147 tgl@sss.pgh.pa.us 3349 [ + - ]: 2910 : classForm->relkind != RELKIND_VIEW &&
2349 peter@eisentraut.org 3350 [ + + ]: 2910 : !superuser_arg(roleid))
6448 tgl@sss.pgh.pa.us 3351 : 46 : mask &= ~(ACL_INSERT | ACL_UPDATE | ACL_DELETE | ACL_TRUNCATE | ACL_USAGE);
3352 : :
3353 : : /*
3354 : : * Otherwise, superusers bypass all permission-checking.
3355 : : */
7616 3356 [ + + ]: 2402849 : if (superuser_arg(roleid))
3357 : : {
9301 3358 : 2361880 : ReleaseSysCache(tuple);
8029 3359 : 2361880 : return mask;
3360 : : }
3361 : :
3362 : : /*
3363 : : * Normal case: get the relation's ACL from pg_class
3364 : : */
8008 3365 : 40969 : ownerId = classForm->relowner;
3366 : :
8811 3367 : 40969 : aclDatum = SysCacheGetAttr(RELOID, tuple, Anum_pg_class_relacl,
3368 : : &isNull);
9346 3369 [ + + ]: 40969 : if (isNull)
3370 : : {
3371 : : /* No ACL, so build default ACL */
5603 rhaas@postgresql.org 3372 [ + + ]: 11658 : switch (classForm->relkind)
3373 : : {
3374 : 84 : case RELKIND_SEQUENCE:
3128 peter_e@gmx.net 3375 : 84 : acl = acldefault(OBJECT_SEQUENCE, ownerId);
5603 rhaas@postgresql.org 3376 : 84 : break;
3377 : 11574 : default:
3128 peter_e@gmx.net 3378 : 11574 : acl = acldefault(OBJECT_TABLE, ownerId);
5603 rhaas@postgresql.org 3379 : 11574 : break;
3380 : : }
9100 tgl@sss.pgh.pa.us 3381 : 11658 : aclDatum = (Datum) 0;
3382 : : }
3383 : : else
3384 : : {
3385 : : /* detoast rel's ACL if necessary */
3386 : 29311 : acl = DatumGetAclP(aclDatum);
3387 : : }
3388 : :
7616 3389 : 40969 : result = aclmask(acl, roleid, ownerId, mask, how);
3390 : :
3391 : : /* if we have a detoasted copy, free it */
152 peter@eisentraut.org 3392 [ + - + - ]:GNC 40969 : if (acl && acl != DatumGetPointer(aclDatum))
10467 bruce@momjian.us 3393 :CBC 40969 : pfree(acl);
3394 : :
9301 tgl@sss.pgh.pa.us 3395 : 40969 : ReleaseSysCache(tuple);
3396 : :
3397 : : /*
3398 : : * Check if ACL_SELECT is being checked and, if so, and not set already as
3399 : : * part of the result, then check if the user is a member of the
3400 : : * pg_read_all_data role, which allows read access to all relations.
3401 : : */
1856 sfrost@snowman.net 3402 [ + + + + : 45410 : if (mask & ACL_SELECT && !(result & ACL_SELECT) &&
+ + ]
1851 noah@leadboat.com 3403 : 4441 : has_privs_of_role(roleid, ROLE_PG_READ_ALL_DATA))
1856 sfrost@snowman.net 3404 : 8 : result |= ACL_SELECT;
3405 : :
3406 : : /*
3407 : : * Check if ACL_INSERT, ACL_UPDATE, or ACL_DELETE is being checked and, if
3408 : : * so, and not set already as part of the result, then check if the user
3409 : : * is a member of the pg_write_all_data role, which allows
3410 : : * INSERT/UPDATE/DELETE access to all relations (except system catalogs,
3411 : : * which requires superuser, see above).
3412 : : */
3413 [ + + ]: 40969 : if (mask & (ACL_INSERT | ACL_UPDATE | ACL_DELETE) &&
1819 tgl@sss.pgh.pa.us 3414 [ + + + + ]: 6040 : !(result & (ACL_INSERT | ACL_UPDATE | ACL_DELETE)) &&
1851 noah@leadboat.com 3415 : 1352 : has_privs_of_role(roleid, ROLE_PG_WRITE_ALL_DATA))
1856 sfrost@snowman.net 3416 : 12 : result |= (mask & (ACL_INSERT | ACL_UPDATE | ACL_DELETE));
3417 : :
3418 : : /*
3419 : : * Check if ACL_MAINTAIN is being checked and, if so, and not already set
3420 : : * as part of the result, then check if the user is a member of the
3421 : : * pg_maintain role, which allows VACUUM, ANALYZE, CLUSTER, REFRESH
3422 : : * MATERIALIZED VIEW, REINDEX, and LOCK TABLE on all relations.
3423 : : */
783 nathan@postgresql.or 3424 [ + + ]: 40969 : if (mask & ACL_MAINTAIN &&
3425 [ + + + + ]: 11435 : !(result & ACL_MAINTAIN) &&
3426 : 5513 : has_privs_of_role(roleid, ROLE_PG_MAINTAIN))
3427 : 44 : result |= ACL_MAINTAIN;
3428 : :
10108 bruce@momjian.us 3429 : 40969 : return result;
3430 : : }
3431 : :
3432 : : /*
3433 : : * Routine for examining a user's privileges for a configuration
3434 : : * parameter (GUC), identified by GUC name.
3435 : : */
3436 : : static AclMode
1490 tgl@sss.pgh.pa.us 3437 : 80 : pg_parameter_aclmask(const char *name, Oid roleid, AclMode mask, AclMaskHow how)
3438 : : {
3439 : : AclMode result;
3440 : : char *parname;
3441 : : text *partext;
3442 : : HeapTuple tuple;
3443 : :
3444 : : /* Superusers bypass all permission checking. */
3445 [ + + ]: 80 : if (superuser_arg(roleid))
3446 : 1 : return mask;
3447 : :
3448 : : /* Convert name to the form it should have in pg_parameter_acl... */
3449 : 79 : parname = convert_GUC_name_for_parameter_acl(name);
3450 : 79 : partext = cstring_to_text(parname);
3451 : :
3452 : : /* ... and look it up */
3453 : 79 : tuple = SearchSysCache1(PARAMETERACLNAME, PointerGetDatum(partext));
3454 : :
3455 [ + + ]: 79 : if (!HeapTupleIsValid(tuple))
3456 : : {
3457 : : /* If no entry, GUC has no permissions for non-superusers */
3458 : 35 : result = ACL_NO_RIGHTS;
3459 : : }
3460 : : else
3461 : : {
3462 : : Datum aclDatum;
3463 : : bool isNull;
3464 : : Acl *acl;
3465 : :
3466 : 44 : aclDatum = SysCacheGetAttr(PARAMETERACLNAME, tuple,
3467 : : Anum_pg_parameter_acl_paracl,
3468 : : &isNull);
3469 [ - + ]: 44 : if (isNull)
3470 : : {
3471 : : /* No ACL, so build default ACL */
1490 tgl@sss.pgh.pa.us 3472 :UBC 0 : acl = acldefault(OBJECT_PARAMETER_ACL, BOOTSTRAP_SUPERUSERID);
3473 : 0 : aclDatum = (Datum) 0;
3474 : : }
3475 : : else
3476 : : {
3477 : : /* detoast ACL if necessary */
1490 tgl@sss.pgh.pa.us 3478 :CBC 44 : acl = DatumGetAclP(aclDatum);
3479 : : }
3480 : :
3481 : 44 : result = aclmask(acl, roleid, BOOTSTRAP_SUPERUSERID, mask, how);
3482 : :
3483 : : /* if we have a detoasted copy, free it */
152 peter@eisentraut.org 3484 [ + - + - ]:GNC 44 : if (acl && acl != DatumGetPointer(aclDatum))
1490 tgl@sss.pgh.pa.us 3485 :CBC 44 : pfree(acl);
3486 : :
3487 : 44 : ReleaseSysCache(tuple);
3488 : : }
3489 : :
3490 : 79 : pfree(parname);
3491 : 79 : pfree(partext);
3492 : :
3493 : 79 : return result;
3494 : : }
3495 : :
3496 : : /*
3497 : : * Routine for examining a user's privileges for a configuration
3498 : : * parameter (GUC), identified by the OID of its pg_parameter_acl entry.
3499 : : */
3500 : : static AclMode
1490 tgl@sss.pgh.pa.us 3501 :UBC 0 : pg_parameter_acl_aclmask(Oid acl_oid, Oid roleid, AclMode mask, AclMaskHow how)
3502 : : {
3503 : : AclMode result;
3504 : : HeapTuple tuple;
3505 : : Datum aclDatum;
3506 : : bool isNull;
3507 : : Acl *acl;
3508 : :
3509 : : /* Superusers bypass all permission checking. */
3510 [ # # ]: 0 : if (superuser_arg(roleid))
3511 : 0 : return mask;
3512 : :
3513 : : /* Get the ACL from pg_parameter_acl */
3514 : 0 : tuple = SearchSysCache1(PARAMETERACLOID, ObjectIdGetDatum(acl_oid));
3515 [ # # ]: 0 : if (!HeapTupleIsValid(tuple))
3516 [ # # ]: 0 : ereport(ERROR,
3517 : : (errcode(ERRCODE_UNDEFINED_OBJECT),
3518 : : errmsg("parameter ACL with OID %u does not exist",
3519 : : acl_oid)));
3520 : :
3521 : 0 : aclDatum = SysCacheGetAttr(PARAMETERACLOID, tuple,
3522 : : Anum_pg_parameter_acl_paracl,
3523 : : &isNull);
3524 [ # # ]: 0 : if (isNull)
3525 : : {
3526 : : /* No ACL, so build default ACL */
3527 : 0 : acl = acldefault(OBJECT_PARAMETER_ACL, BOOTSTRAP_SUPERUSERID);
3528 : 0 : aclDatum = (Datum) 0;
3529 : : }
3530 : : else
3531 : : {
3532 : : /* detoast ACL if necessary */
3533 : 0 : acl = DatumGetAclP(aclDatum);
3534 : : }
3535 : :
3536 : 0 : result = aclmask(acl, roleid, BOOTSTRAP_SUPERUSERID, mask, how);
3537 : :
3538 : : /* if we have a detoasted copy, free it */
152 peter@eisentraut.org 3539 [ # # # # ]:UNC 0 : if (acl && acl != DatumGetPointer(aclDatum))
1490 tgl@sss.pgh.pa.us 3540 :UBC 0 : pfree(acl);
3541 : :
3542 : 0 : ReleaseSysCache(tuple);
3543 : :
3544 : 0 : return result;
3545 : : }
3546 : :
3547 : : /*
3548 : : * Routine for examining a user's privileges for a largeobject
3549 : : *
3550 : : * When a large object is opened for reading, it is opened relative to the
3551 : : * caller's snapshot, but when it is opened for writing, a current
3552 : : * MVCC snapshot will be used. See doc/src/sgml/lobj.sgml. This function
3553 : : * takes a snapshot argument so that the permissions check can be made
3554 : : * relative to the same snapshot that will be used to read the underlying
3555 : : * data. The caller will actually pass NULL for an instantaneous MVCC
3556 : : * snapshot, since all we do with the snapshot argument is pass it through
3557 : : * to systable_beginscan().
3558 : : */
3559 : : static AclMode
5989 itagaki.takahiro@gma 3560 :CBC 589 : pg_largeobject_aclmask_snapshot(Oid lobj_oid, Oid roleid,
3561 : : AclMode mask, AclMaskHow how,
3562 : : Snapshot snapshot)
3563 : : {
3564 : : AclMode result;
3565 : : Relation pg_lo_meta;
3566 : : ScanKeyData entry[1];
3567 : : SysScanDesc scan;
3568 : : HeapTuple tuple;
3569 : : Datum aclDatum;
3570 : : bool isNull;
3571 : : Acl *acl;
3572 : : Oid ownerId;
3573 : :
3574 : : /* Superusers bypass all permission checking. */
3575 [ + + ]: 589 : if (superuser_arg(roleid))
3576 : 337 : return mask;
3577 : :
3578 : : /*
3579 : : * Get the largeobject's ACL from pg_largeobject_metadata
3580 : : */
2661 andres@anarazel.de 3581 : 252 : pg_lo_meta = table_open(LargeObjectMetadataRelationId,
3582 : : AccessShareLock);
3583 : :
5989 itagaki.takahiro@gma 3584 : 252 : ScanKeyInit(&entry[0],
3585 : : Anum_pg_largeobject_metadata_oid,
3586 : : BTEqualStrategyNumber, F_OIDEQ,
3587 : : ObjectIdGetDatum(lobj_oid));
3588 : :
3589 : 252 : scan = systable_beginscan(pg_lo_meta,
3590 : : LargeObjectMetadataOidIndexId, true,
3591 : : snapshot, 1, entry);
3592 : :
3593 : 252 : tuple = systable_getnext(scan);
3594 [ - + ]: 252 : if (!HeapTupleIsValid(tuple))
5989 itagaki.takahiro@gma 3595 [ # # ]:UBC 0 : ereport(ERROR,
3596 : : (errcode(ERRCODE_UNDEFINED_OBJECT),
3597 : : errmsg("large object %u does not exist", lobj_oid)));
3598 : :
5989 itagaki.takahiro@gma 3599 :CBC 252 : ownerId = ((Form_pg_largeobject_metadata) GETSTRUCT(tuple))->lomowner;
3600 : :
3601 : 252 : aclDatum = heap_getattr(tuple, Anum_pg_largeobject_metadata_lomacl,
3602 : : RelationGetDescr(pg_lo_meta), &isNull);
3603 : :
3604 [ + + ]: 252 : if (isNull)
3605 : : {
3606 : : /* No ACL, so build default ACL */
3128 peter_e@gmx.net 3607 : 48 : acl = acldefault(OBJECT_LARGEOBJECT, ownerId);
5989 itagaki.takahiro@gma 3608 : 48 : aclDatum = (Datum) 0;
3609 : : }
3610 : : else
3611 : : {
3612 : : /* detoast ACL if necessary */
3613 : 204 : acl = DatumGetAclP(aclDatum);
3614 : : }
3615 : :
3616 : 252 : result = aclmask(acl, roleid, ownerId, mask, how);
3617 : :
3618 : : /* if we have a detoasted copy, free it */
152 peter@eisentraut.org 3619 [ + - + - ]:GNC 252 : if (acl && acl != DatumGetPointer(aclDatum))
5989 itagaki.takahiro@gma 3620 :CBC 252 : pfree(acl);
3621 : :
3622 : 252 : systable_endscan(scan);
3623 : :
2661 andres@anarazel.de 3624 : 252 : table_close(pg_lo_meta, AccessShareLock);
3625 : :
3626 : : /*
3627 : : * Check if ACL_SELECT is being checked and, if so, and not set already as
3628 : : * part of the result, then check if the user has privileges of the
3629 : : * pg_read_all_data role, which allows read access to all large objects.
3630 : : */
71 nathan@postgresql.or 3631 [ + + + + :GNC 320 : if (mask & ACL_SELECT && !(result & ACL_SELECT) &&
+ + ]
3632 : 68 : has_privs_of_role(roleid, ROLE_PG_READ_ALL_DATA))
3633 : 20 : result |= ACL_SELECT;
3634 : :
3635 : : /*
3636 : : * Check if ACL_UPDATE is being checked and, if so, and not set already as
3637 : : * part of the result, then check if the user has privileges of the
3638 : : * pg_write_all_data role, which allows write access to all large objects.
3639 : : */
3640 [ + + + + : 312 : if (mask & ACL_UPDATE && !(result & ACL_UPDATE) &&
+ + ]
3641 : 60 : has_privs_of_role(roleid, ROLE_PG_WRITE_ALL_DATA))
3642 : 12 : result |= ACL_UPDATE;
3643 : :
5989 itagaki.takahiro@gma 3644 :CBC 252 : return result;
3645 : : }
3646 : :
3647 : : /*
3648 : : * Routine for examining a user's privileges for a namespace, with is_missing
3649 : : */
3650 : : static AclMode
934 tgl@sss.pgh.pa.us 3651 : 635605 : pg_namespace_aclmask_ext(Oid nsp_oid, Oid roleid,
3652 : : AclMode mask, AclMaskHow how,
3653 : : bool *is_missing)
3654 : : {
3655 : : AclMode result;
3656 : : HeapTuple tuple;
3657 : : Datum aclDatum;
3658 : : bool isNull;
3659 : : Acl *acl;
3660 : : Oid ownerId;
3661 : :
3662 : : /* Superusers bypass all permission checking. */
7616 3663 [ + + ]: 635605 : if (superuser_arg(roleid))
8029 3664 : 623071 : return mask;
3665 : :
3666 : : /*
3667 : : * If we have been assigned this namespace as a temp namespace, check to
3668 : : * make sure we have CREATE TEMP permission on the database, and if so act
3669 : : * as though we have all standard (but not GRANT OPTION) permissions on
3670 : : * the namespace. If we don't have CREATE TEMP, act as though we have
3671 : : * only USAGE (and not CREATE) rights.
3672 : : *
3673 : : * This may seem redundant given the check in InitTempTableNamespace, but
3674 : : * it really isn't since current user ID may have changed since then. The
3675 : : * upshot of this behavior is that a SECURITY DEFINER function can create
3676 : : * temp tables that can then be accessed (if permission is granted) by
3677 : : * code in the same session that doesn't have permissions to create temp
3678 : : * tables.
3679 : : *
3680 : : * XXX Would it be safe to ereport a special error message as
3681 : : * InitTempTableNamespace does? Returning zero here means we'll get a
3682 : : * generic "permission denied for schema pg_temp_N" message, which is not
3683 : : * remarkably user-friendly.
3684 : : */
8012 3685 [ + + ]: 12534 : if (isTempNamespace(nsp_oid))
3686 : : {
934 3687 [ + - ]: 212 : if (object_aclcheck_ext(DatabaseRelationId, MyDatabaseId, roleid,
3688 : : ACL_CREATE_TEMP, is_missing) == ACLCHECK_OK)
3128 peter_e@gmx.net 3689 : 212 : return mask & ACL_ALL_RIGHTS_SCHEMA;
3690 : : else
8012 tgl@sss.pgh.pa.us 3691 :UBC 0 : return mask & ACL_USAGE;
3692 : : }
3693 : :
3694 : : /*
3695 : : * Get the schema's ACL from pg_namespace
3696 : : */
5924 rhaas@postgresql.org 3697 :CBC 12322 : tuple = SearchSysCache1(NAMESPACEOID, ObjectIdGetDatum(nsp_oid));
8780 tgl@sss.pgh.pa.us 3698 [ - + ]: 12322 : if (!HeapTupleIsValid(tuple))
3699 : : {
934 tgl@sss.pgh.pa.us 3700 [ # # ]:UBC 0 : if (is_missing != NULL)
3701 : : {
3702 : : /* return "no privileges" instead of throwing an error */
3703 : 0 : *is_missing = true;
3704 : 0 : return 0;
3705 : : }
3706 : : else
3707 [ # # ]: 0 : ereport(ERROR,
3708 : : (errcode(ERRCODE_UNDEFINED_SCHEMA),
3709 : : errmsg("schema with OID %u does not exist", nsp_oid)));
3710 : : }
3711 : :
8008 tgl@sss.pgh.pa.us 3712 :CBC 12322 : ownerId = ((Form_pg_namespace) GETSTRUCT(tuple))->nspowner;
3713 : :
8780 3714 : 12322 : aclDatum = SysCacheGetAttr(NAMESPACEOID, tuple, Anum_pg_namespace_nspacl,
3715 : : &isNull);
3716 [ + + ]: 12322 : if (isNull)
3717 : : {
3718 : : /* No ACL, so build default ACL */
3128 peter_e@gmx.net 3719 : 196 : acl = acldefault(OBJECT_SCHEMA, ownerId);
8780 tgl@sss.pgh.pa.us 3720 : 196 : aclDatum = (Datum) 0;
3721 : : }
3722 : : else
3723 : : {
3724 : : /* detoast ACL if necessary */
3725 : 12126 : acl = DatumGetAclP(aclDatum);
3726 : : }
3727 : :
7616 3728 : 12322 : result = aclmask(acl, roleid, ownerId, mask, how);
3729 : :
3730 : : /* if we have a detoasted copy, free it */
152 peter@eisentraut.org 3731 [ + - + - ]:GNC 12322 : if (acl && acl != DatumGetPointer(aclDatum))
8842 peter_e@gmx.net 3732 :CBC 12322 : pfree(acl);
3733 : :
3734 : 12322 : ReleaseSysCache(tuple);
3735 : :
3736 : : /*
3737 : : * Check if ACL_USAGE is being checked and, if so, and not set already as
3738 : : * part of the result, then check if the user is a member of the
3739 : : * pg_read_all_data or pg_write_all_data roles, which allow usage access
3740 : : * to all schemas.
3741 : : */
1856 sfrost@snowman.net 3742 [ + + + + : 12359 : if (mask & ACL_USAGE && !(result & ACL_USAGE) &&
+ + ]
1851 noah@leadboat.com 3743 [ + + ]: 70 : (has_privs_of_role(roleid, ROLE_PG_READ_ALL_DATA) ||
3744 : 33 : has_privs_of_role(roleid, ROLE_PG_WRITE_ALL_DATA)))
1856 sfrost@snowman.net 3745 : 8 : result |= ACL_USAGE;
8842 peter_e@gmx.net 3746 : 12322 : return result;
3747 : : }
3748 : :
3749 : : /*
3750 : : * Routine for examining a user's privileges for a type, with is_missing
3751 : : */
3752 : : static AclMode
934 tgl@sss.pgh.pa.us 3753 : 213713 : pg_type_aclmask_ext(Oid type_oid, Oid roleid, AclMode mask, AclMaskHow how,
3754 : : bool *is_missing)
3755 : : {
3756 : : AclMode result;
3757 : : HeapTuple tuple;
3758 : : Form_pg_type typeForm;
3759 : : Datum aclDatum;
3760 : : bool isNull;
3761 : : Acl *acl;
3762 : : Oid ownerId;
3763 : :
3764 : : /* Bypass permission checks for superusers */
5250 peter_e@gmx.net 3765 [ + + ]: 213713 : if (superuser_arg(roleid))
3766 : 210603 : return mask;
3767 : :
3768 : : /*
3769 : : * Must get the type's tuple from pg_type
3770 : : */
3771 : 3110 : tuple = SearchSysCache1(TYPEOID, ObjectIdGetDatum(type_oid));
3772 [ - + ]: 3110 : if (!HeapTupleIsValid(tuple))
3773 : : {
934 tgl@sss.pgh.pa.us 3774 [ # # ]:UBC 0 : if (is_missing != NULL)
3775 : : {
3776 : : /* return "no privileges" instead of throwing an error */
3777 : 0 : *is_missing = true;
3778 : 0 : return 0;
3779 : : }
3780 : : else
3781 [ # # ]: 0 : ereport(ERROR,
3782 : : (errcode(ERRCODE_UNDEFINED_OBJECT),
3783 : : errmsg("type with OID %u does not exist",
3784 : : type_oid)));
3785 : : }
5250 peter_e@gmx.net 3786 :CBC 3110 : typeForm = (Form_pg_type) GETSTRUCT(tuple);
3787 : :
3788 : : /*
3789 : : * "True" array types don't manage permissions of their own; consult the
3790 : : * element type instead.
3791 : : */
1973 tgl@sss.pgh.pa.us 3792 [ + + + + ]: 3110 : if (IsTrueArrayType(typeForm))
3793 : : {
5077 bruce@momjian.us 3794 : 32 : Oid elttype_oid = typeForm->typelem;
3795 : :
5250 peter_e@gmx.net 3796 : 32 : ReleaseSysCache(tuple);
3797 : :
3798 : 32 : tuple = SearchSysCache1(TYPEOID, ObjectIdGetDatum(elttype_oid));
3799 [ - + ]: 32 : if (!HeapTupleIsValid(tuple))
3800 : : {
934 tgl@sss.pgh.pa.us 3801 [ # # ]:UBC 0 : if (is_missing != NULL)
3802 : : {
3803 : : /* return "no privileges" instead of throwing an error */
3804 : 0 : *is_missing = true;
3805 : 0 : return 0;
3806 : : }
3807 : : else
3808 [ # # ]: 0 : ereport(ERROR,
3809 : : (errcode(ERRCODE_UNDEFINED_OBJECT),
3810 : : errmsg("type with OID %u does not exist",
3811 : : elttype_oid)));
3812 : : }
5250 peter_e@gmx.net 3813 :CBC 32 : typeForm = (Form_pg_type) GETSTRUCT(tuple);
3814 : : }
3815 : :
3816 : : /*
3817 : : * Likewise, multirange types don't manage their own permissions; consult
3818 : : * the associated range type. (Note we must do this after the array step
3819 : : * to get the right answer for arrays of multiranges.)
3820 : : */
811 tgl@sss.pgh.pa.us 3821 [ + + ]: 3110 : if (typeForm->typtype == TYPTYPE_MULTIRANGE)
3822 : : {
3823 : 8 : Oid rangetype = get_multirange_range(typeForm->oid);
3824 : :
3825 : 8 : ReleaseSysCache(tuple);
3826 : :
3827 : 8 : tuple = SearchSysCache1(TYPEOID, ObjectIdGetDatum(rangetype));
3828 [ - + ]: 8 : if (!HeapTupleIsValid(tuple))
3829 : : {
811 tgl@sss.pgh.pa.us 3830 [ # # ]:UBC 0 : if (is_missing != NULL)
3831 : : {
3832 : : /* return "no privileges" instead of throwing an error */
3833 : 0 : *is_missing = true;
3834 : 0 : return 0;
3835 : : }
3836 : : else
3837 [ # # ]: 0 : ereport(ERROR,
3838 : : (errcode(ERRCODE_UNDEFINED_OBJECT),
3839 : : errmsg("type with OID %u does not exist",
3840 : : rangetype)));
3841 : : }
811 tgl@sss.pgh.pa.us 3842 :CBC 8 : typeForm = (Form_pg_type) GETSTRUCT(tuple);
3843 : : }
3844 : :
3845 : : /*
3846 : : * Now get the type's owner and ACL from the tuple
3847 : : */
5250 peter_e@gmx.net 3848 : 3110 : ownerId = typeForm->typowner;
3849 : :
3850 : 3110 : aclDatum = SysCacheGetAttr(TYPEOID, tuple,
3851 : : Anum_pg_type_typacl, &isNull);
3852 [ + + ]: 3110 : if (isNull)
3853 : : {
3854 : : /* No ACL, so build default ACL */
3128 3855 : 2954 : acl = acldefault(OBJECT_TYPE, ownerId);
5250 3856 : 2954 : aclDatum = (Datum) 0;
3857 : : }
3858 : : else
3859 : : {
3860 : : /* detoast rel's ACL if necessary */
3861 : 156 : acl = DatumGetAclP(aclDatum);
3862 : : }
3863 : :
3864 : 3110 : result = aclmask(acl, roleid, ownerId, mask, how);
3865 : :
3866 : : /* if we have a detoasted copy, free it */
152 peter@eisentraut.org 3867 [ + - + - ]:GNC 3110 : if (acl && acl != DatumGetPointer(aclDatum))
5250 peter_e@gmx.net 3868 :CBC 3110 : pfree(acl);
3869 : :
3870 : 3110 : ReleaseSysCache(tuple);
3871 : :
3872 : 3110 : return result;
3873 : : }
3874 : :
3875 : : /*
3876 : : * Exported generic routine for checking a user's access privileges to an object
3877 : : */
3878 : : AclResult
1269 peter@eisentraut.org 3879 : 2099569 : object_aclcheck(Oid classid, Oid objectid, Oid roleid, AclMode mode)
3880 : : {
934 tgl@sss.pgh.pa.us 3881 : 2099569 : return object_aclcheck_ext(classid, objectid, roleid, mode, NULL);
3882 : : }
3883 : :
3884 : : /*
3885 : : * Exported generic routine for checking a user's access privileges to an
3886 : : * object, with is_missing
3887 : : */
3888 : : AclResult
3889 : 2099853 : object_aclcheck_ext(Oid classid, Oid objectid,
3890 : : Oid roleid, AclMode mode,
3891 : : bool *is_missing)
3892 : : {
3893 [ + + ]: 2099853 : if (object_aclmask_ext(classid, objectid, roleid, mode, ACLMASK_ANY,
3894 : : is_missing) != 0)
1269 peter@eisentraut.org 3895 : 2099449 : return ACLCHECK_OK;
3896 : : else
3897 : 404 : return ACLCHECK_NO_PRIV;
3898 : : }
3899 : :
3900 : : /*
3901 : : * Exported routine for checking a user's access privileges to a column
3902 : : *
3903 : : * Returns ACLCHECK_OK if the user has any of the privileges identified by
3904 : : * 'mode'; otherwise returns a suitable error code (in practice, always
3905 : : * ACLCHECK_NO_PRIV).
3906 : : *
3907 : : * As with pg_attribute_aclmask, only privileges granted directly on the
3908 : : * column are considered here.
3909 : : */
3910 : : AclResult
6312 tgl@sss.pgh.pa.us 3911 : 2929 : pg_attribute_aclcheck(Oid table_oid, AttrNumber attnum,
3912 : : Oid roleid, AclMode mode)
3913 : : {
1861 mail@joeconway.com 3914 : 2929 : return pg_attribute_aclcheck_ext(table_oid, attnum, roleid, mode, NULL);
3915 : : }
3916 : :
3917 : :
3918 : : /*
3919 : : * Exported routine for checking a user's access privileges to a column,
3920 : : * with is_missing
3921 : : */
3922 : : AclResult
3923 : 381138 : pg_attribute_aclcheck_ext(Oid table_oid, AttrNumber attnum,
3924 : : Oid roleid, AclMode mode, bool *is_missing)
3925 : : {
3926 [ + + ]: 381138 : if (pg_attribute_aclmask_ext(table_oid, attnum, roleid, mode,
3927 : : ACLMASK_ANY, is_missing) != 0)
6312 tgl@sss.pgh.pa.us 3928 : 5632 : return ACLCHECK_OK;
3929 : : else
3930 : 375506 : return ACLCHECK_NO_PRIV;
3931 : : }
3932 : :
3933 : : /*
3934 : : * Exported routine for checking a user's access privileges to any/all columns
3935 : : *
3936 : : * If 'how' is ACLMASK_ANY, then returns ACLCHECK_OK if user has any of the
3937 : : * privileges identified by 'mode' on any non-dropped column in the relation;
3938 : : * otherwise returns a suitable error code (in practice, always
3939 : : * ACLCHECK_NO_PRIV).
3940 : : *
3941 : : * If 'how' is ACLMASK_ALL, then returns ACLCHECK_OK if user has any of the
3942 : : * privileges identified by 'mode' on each non-dropped column in the relation
3943 : : * (and there must be at least one such column); otherwise returns a suitable
3944 : : * error code (in practice, always ACLCHECK_NO_PRIV).
3945 : : *
3946 : : * As with pg_attribute_aclmask, only privileges granted directly on the
3947 : : * column(s) are considered here.
3948 : : *
3949 : : * Note: system columns are not considered here; there are cases where that
3950 : : * might be appropriate but there are also cases where it wouldn't.
3951 : : */
3952 : : AclResult
3953 : 163 : pg_attribute_aclcheck_all(Oid table_oid, Oid roleid, AclMode mode,
3954 : : AclMaskHow how)
3955 : : {
934 3956 : 163 : return pg_attribute_aclcheck_all_ext(table_oid, roleid, mode, how, NULL);
3957 : : }
3958 : :
3959 : : /*
3960 : : * Exported routine for checking a user's access privileges to any/all columns,
3961 : : * with is_missing
3962 : : */
3963 : : AclResult
3964 : 163 : pg_attribute_aclcheck_all_ext(Oid table_oid, Oid roleid,
3965 : : AclMode mode, AclMaskHow how,
3966 : : bool *is_missing)
3967 : : {
3968 : : AclResult result;
3969 : : HeapTuple classTuple;
3970 : : Form_pg_class classForm;
3971 : : Oid ownerId;
3972 : : AttrNumber nattrs;
3973 : : AttrNumber curr_att;
3974 : :
3975 : : /*
3976 : : * Must fetch pg_class row to get owner ID and number of attributes.
3977 : : */
5924 rhaas@postgresql.org 3978 : 163 : classTuple = SearchSysCache1(RELOID, ObjectIdGetDatum(table_oid));
6312 tgl@sss.pgh.pa.us 3979 [ - + ]: 163 : if (!HeapTupleIsValid(classTuple))
3980 : : {
934 tgl@sss.pgh.pa.us 3981 [ # # ]:UBC 0 : if (is_missing != NULL)
3982 : : {
3983 : : /* return "no privileges" instead of throwing an error */
3984 : 0 : *is_missing = true;
3985 : 0 : return ACLCHECK_NO_PRIV;
3986 : : }
3987 : : else
3988 [ # # ]: 0 : ereport(ERROR,
3989 : : (errcode(ERRCODE_UNDEFINED_TABLE),
3990 : : errmsg("relation with OID %u does not exist",
3991 : : table_oid)));
3992 : : }
6312 tgl@sss.pgh.pa.us 3993 :CBC 163 : classForm = (Form_pg_class) GETSTRUCT(classTuple);
3994 : :
934 3995 : 163 : ownerId = classForm->relowner;
6312 3996 : 163 : nattrs = classForm->relnatts;
3997 : :
3998 : 163 : ReleaseSysCache(classTuple);
3999 : :
4000 : : /*
4001 : : * Initialize result in case there are no non-dropped columns. We want to
4002 : : * report failure in such cases for either value of 'how'.
4003 : : */
4004 : 163 : result = ACLCHECK_NO_PRIV;
4005 : :
4006 [ + + ]: 390 : for (curr_att = 1; curr_att <= nattrs; curr_att++)
4007 : : {
4008 : : HeapTuple attTuple;
4009 : : Datum aclDatum;
4010 : : bool isNull;
4011 : : Acl *acl;
4012 : : AclMode attmask;
4013 : :
5924 rhaas@postgresql.org 4014 : 313 : attTuple = SearchSysCache2(ATTNUM,
4015 : : ObjectIdGetDatum(table_oid),
4016 : : Int16GetDatum(curr_att));
4017 : :
4018 : : /*
4019 : : * Lookup failure probably indicates that the table was just dropped,
4020 : : * but we'll treat it the same as a dropped column rather than
4021 : : * throwing error.
4022 : : */
6312 tgl@sss.pgh.pa.us 4023 [ - + ]: 313 : if (!HeapTupleIsValid(attTuple))
6297 4024 : 12 : continue;
4025 : :
4026 : : /* ignore dropped columns */
4027 [ + + ]: 313 : if (((Form_pg_attribute) GETSTRUCT(attTuple))->attisdropped)
4028 : : {
4029 : 12 : ReleaseSysCache(attTuple);
6312 4030 : 12 : continue;
4031 : : }
4032 : :
934 4033 : 301 : aclDatum = SysCacheGetAttr(ATTNUM, attTuple, Anum_pg_attribute_attacl,
4034 : : &isNull);
4035 : :
4036 : : /*
4037 : : * Here we hard-wire knowledge that the default ACL for a column
4038 : : * grants no privileges, so that we can fall out quickly in the very
4039 : : * common case where attacl is null.
4040 : : */
4041 [ + + ]: 301 : if (isNull)
6297 4042 : 124 : attmask = 0;
4043 : : else
4044 : : {
4045 : : /* detoast column's ACL if necessary */
934 4046 : 177 : acl = DatumGetAclP(aclDatum);
4047 : :
4048 : 177 : attmask = aclmask(acl, roleid, ownerId, mode, ACLMASK_ANY);
4049 : :
4050 : : /* if we have a detoasted copy, free it */
152 peter@eisentraut.org 4051 [ + - ]:GNC 177 : if (acl != DatumGetPointer(aclDatum))
934 tgl@sss.pgh.pa.us 4052 :CBC 177 : pfree(acl);
4053 : : }
4054 : :
6297 4055 : 301 : ReleaseSysCache(attTuple);
4056 : :
4057 [ + + ]: 301 : if (attmask != 0)
4058 : : {
6312 4059 : 117 : result = ACLCHECK_OK;
4060 [ + + ]: 117 : if (how == ACLMASK_ANY)
4061 : 86 : break; /* succeed on any success */
4062 : : }
4063 : : else
4064 : : {
4065 : 184 : result = ACLCHECK_NO_PRIV;
4066 [ + + ]: 184 : if (how == ACLMASK_ALL)
4067 : 33 : break; /* fail on any failure */
4068 : : }
4069 : : }
4070 : :
4071 : 163 : return result;
4072 : : }
4073 : :
4074 : : /*
4075 : : * Exported routine for checking a user's access privileges to a table
4076 : : *
4077 : : * Returns ACLCHECK_OK if the user has any of the privileges identified by
4078 : : * 'mode'; otherwise returns a suitable error code (in practice, always
4079 : : * ACLCHECK_NO_PRIV).
4080 : : */
4081 : : AclResult
7616 4082 : 1630195 : pg_class_aclcheck(Oid table_oid, Oid roleid, AclMode mode)
4083 : : {
1861 mail@joeconway.com 4084 : 1630195 : return pg_class_aclcheck_ext(table_oid, roleid, mode, NULL);
4085 : : }
4086 : :
4087 : : /*
4088 : : * Exported routine for checking a user's access privileges to a table,
4089 : : * with is_missing
4090 : : */
4091 : : AclResult
4092 : 2004513 : pg_class_aclcheck_ext(Oid table_oid, Oid roleid,
4093 : : AclMode mode, bool *is_missing)
4094 : : {
4095 [ + + ]: 2004513 : if (pg_class_aclmask_ext(table_oid, roleid, mode,
4096 : : ACLMASK_ANY, is_missing) != 0)
8029 tgl@sss.pgh.pa.us 4097 : 1995721 : return ACLCHECK_OK;
4098 : : else
4099 : 8792 : return ACLCHECK_NO_PRIV;
4100 : : }
4101 : :
4102 : : /*
4103 : : * Exported routine for checking a user's access privileges to a configuration
4104 : : * parameter (GUC), identified by GUC name.
4105 : : */
4106 : : AclResult
1490 4107 : 80 : pg_parameter_aclcheck(const char *name, Oid roleid, AclMode mode)
4108 : : {
4109 [ + + ]: 80 : if (pg_parameter_aclmask(name, roleid, mode, ACLMASK_ANY) != 0)
4110 : 34 : return ACLCHECK_OK;
4111 : : else
4112 : 46 : return ACLCHECK_NO_PRIV;
4113 : : }
4114 : :
4115 : : /*
4116 : : * Exported routine for checking a user's access privileges to a largeobject
4117 : : */
4118 : : AclResult
5989 itagaki.takahiro@gma 4119 : 589 : pg_largeobject_aclcheck_snapshot(Oid lobj_oid, Oid roleid, AclMode mode,
4120 : : Snapshot snapshot)
4121 : : {
4122 [ + + ]: 589 : if (pg_largeobject_aclmask_snapshot(lobj_oid, roleid, mode,
4123 : : ACLMASK_ANY, snapshot) != 0)
4124 : 493 : return ACLCHECK_OK;
4125 : : else
4126 : 96 : return ACLCHECK_NO_PRIV;
4127 : : }
4128 : :
4129 : : /*
4130 : : * Generic ownership check for an object
4131 : : */
4132 : : bool
1269 peter@eisentraut.org 4133 : 172749 : object_ownercheck(Oid classid, Oid objectid, Oid roleid)
4134 : : {
4135 : : SysCacheIdentifier cacheid;
4136 : : Oid ownerId;
4137 : :
4138 : : /* Superusers bypass all permission checking. */
5561 peter_e@gmx.net 4139 [ + + ]: 172749 : if (superuser_arg(roleid))
4140 : 164378 : return true;
4141 : :
4142 : : /* For large objects, the catalog to consult is pg_largeobject_metadata */
872 tgl@sss.pgh.pa.us 4143 [ + + ]: 8371 : if (classid == LargeObjectRelationId)
4144 : 24 : classid = LargeObjectMetadataRelationId;
4145 : :
1269 peter@eisentraut.org 4146 : 8371 : cacheid = get_object_catcache_oid(classid);
76 michael@paquier.xyz 4147 [ + + ]:GNC 8371 : if (cacheid != SYSCACHEID_INVALID)
4148 : : {
4149 : : /* we can get the object's tuple from the syscache */
4150 : : HeapTuple tuple;
4151 : :
1269 peter@eisentraut.org 4152 :CBC 8345 : tuple = SearchSysCache1(cacheid, ObjectIdGetDatum(objectid));
4153 [ - + ]: 8345 : if (!HeapTupleIsValid(tuple))
475 peter@eisentraut.org 4154 [ # # ]:UBC 0 : elog(ERROR, "cache lookup failed for %s %u",
4155 : : get_object_class_descr(classid), objectid);
4156 : :
1137 dgustafsson@postgres 4157 :CBC 8345 : ownerId = DatumGetObjectId(SysCacheGetAttrNotNull(cacheid,
4158 : : tuple,
4159 : 8345 : get_object_attnum_owner(classid)));
1269 peter@eisentraut.org 4160 : 8345 : ReleaseSysCache(tuple);
4161 : : }
4162 : : else
4163 : : {
4164 : : /* for catalogs without an appropriate syscache */
4165 : : Relation rel;
4166 : : ScanKeyData entry[1];
4167 : : SysScanDesc scan;
4168 : : HeapTuple tuple;
4169 : : bool isnull;
4170 : :
4171 : 26 : rel = table_open(classid, AccessShareLock);
4172 : :
4173 : 52 : ScanKeyInit(&entry[0],
4174 : 26 : get_object_attnum_oid(classid),
4175 : : BTEqualStrategyNumber, F_OIDEQ,
4176 : : ObjectIdGetDatum(objectid));
4177 : :
4178 : 26 : scan = systable_beginscan(rel,
4179 : : get_object_oid_index(classid), true,
4180 : : NULL, 1, entry);
4181 : :
4182 : 26 : tuple = systable_getnext(scan);
4183 [ - + ]: 26 : if (!HeapTupleIsValid(tuple))
475 peter@eisentraut.org 4184 [ # # ]:UBC 0 : elog(ERROR, "could not find tuple for %s %u",
4185 : : get_object_class_descr(classid), objectid);
4186 : :
1269 peter@eisentraut.org 4187 :CBC 26 : ownerId = DatumGetObjectId(heap_getattr(tuple,
4188 : 26 : get_object_attnum_owner(classid),
4189 : : RelationGetDescr(rel),
4190 : : &isnull));
4191 [ - + ]: 26 : Assert(!isnull);
4192 : :
4193 : 26 : systable_endscan(scan);
4194 : 26 : table_close(rel, AccessShareLock);
4195 : : }
4196 : :
3329 alvherre@alvh.no-ip. 4197 : 8371 : return has_privs_of_role(roleid, ownerId);
4198 : : }
4199 : :
4200 : : /*
4201 : : * Check whether specified role has CREATEROLE privilege (or is a superuser)
4202 : : *
4203 : : * Note: roles do not have owners per se; instead we use this test in
4204 : : * places where an ownership-like permissions test is needed for a role.
4205 : : * Be sure to apply it to the role trying to do the operation, not the
4206 : : * role being operated on! Also note that this generally should not be
4207 : : * considered enough privilege if the target role is a superuser.
4208 : : * (We don't handle that consideration here because we want to give a
4209 : : * separate error message for such cases, so the caller has to deal with it.)
4210 : : */
4211 : : bool
4151 4212 : 1698 : has_createrole_privilege(Oid roleid)
4213 : : {
4214 : 1698 : bool result = false;
4215 : : HeapTuple utup;
4216 : :
4217 : : /* Superusers bypass all permission checking. */
4218 [ + + ]: 1698 : if (superuser_arg(roleid))
4219 : 1336 : return true;
4220 : :
4221 : 362 : utup = SearchSysCache1(AUTHOID, ObjectIdGetDatum(roleid));
4222 [ + - ]: 362 : if (HeapTupleIsValid(utup))
4223 : : {
4224 : 362 : result = ((Form_pg_authid) GETSTRUCT(utup))->rolcreaterole;
4225 : 362 : ReleaseSysCache(utup);
4226 : : }
4227 : 362 : return result;
4228 : : }
4229 : :
4230 : : bool
4231 : 3789 : has_bypassrls_privilege(Oid roleid)
4232 : : {
4233 : 3789 : bool result = false;
4234 : : HeapTuple utup;
4235 : :
4236 : : /* Superusers bypass all permission checking. */
4237 [ + + ]: 3789 : if (superuser_arg(roleid))
4238 : 1158 : return true;
4239 : :
4240 : 2631 : utup = SearchSysCache1(AUTHOID, ObjectIdGetDatum(roleid));
4241 [ + - ]: 2631 : if (HeapTupleIsValid(utup))
4242 : : {
4243 : 2631 : result = ((Form_pg_authid) GETSTRUCT(utup))->rolbypassrls;
4244 : 2631 : ReleaseSysCache(utup);
4245 : : }
4246 : 2631 : return result;
4247 : : }
4248 : :
4249 : : /*
4250 : : * Fetch pg_default_acl entry for given role, namespace and object type
4251 : : * (object type must be given in pg_default_acl's encoding).
4252 : : * Returns NULL if no such entry.
4253 : : */
4254 : : static Acl *
6056 tgl@sss.pgh.pa.us 4255 : 109164 : get_default_acl_internal(Oid roleId, Oid nsp_oid, char objtype)
4256 : : {
4257 : 109164 : Acl *result = NULL;
4258 : : HeapTuple tuple;
4259 : :
5924 rhaas@postgresql.org 4260 : 109164 : tuple = SearchSysCache3(DEFACLROLENSPOBJ,
4261 : : ObjectIdGetDatum(roleId),
4262 : : ObjectIdGetDatum(nsp_oid),
4263 : : CharGetDatum(objtype));
4264 : :
6056 tgl@sss.pgh.pa.us 4265 [ + + ]: 109164 : if (HeapTupleIsValid(tuple))
4266 : : {
4267 : : Datum aclDatum;
4268 : : bool isNull;
4269 : :
4270 : 176 : aclDatum = SysCacheGetAttr(DEFACLROLENSPOBJ, tuple,
4271 : : Anum_pg_default_acl_defaclacl,
4272 : : &isNull);
4273 [ + - ]: 176 : if (!isNull)
4274 : 176 : result = DatumGetAclPCopy(aclDatum);
4275 : 176 : ReleaseSysCache(tuple);
4276 : : }
4277 : :
4278 : 109164 : return result;
4279 : : }
4280 : :
4281 : : /*
4282 : : * Get default permissions for newly created object within given schema
4283 : : *
4284 : : * Returns NULL if built-in system defaults should be used.
4285 : : *
4286 : : * If the result is not NULL, caller must call recordDependencyOnNewAcl
4287 : : * once the OID of the new object is known.
4288 : : */
4289 : : Acl *
3128 peter_e@gmx.net 4290 : 54582 : get_user_default_acl(ObjectType objtype, Oid ownerId, Oid nsp_oid)
4291 : : {
4292 : : Acl *result;
4293 : : Acl *glob_acl;
4294 : : Acl *schema_acl;
4295 : : Acl *def_acl;
4296 : : char defaclobjtype;
4297 : :
4298 : : /*
4299 : : * Use NULL during bootstrap, since pg_default_acl probably isn't there
4300 : : * yet.
4301 : : */
6056 tgl@sss.pgh.pa.us 4302 [ - + ]: 54582 : if (IsBootstrapProcessingMode())
6056 tgl@sss.pgh.pa.us 4303 :UBC 0 : return NULL;
4304 : :
4305 : : /* Check if object type is supported in pg_default_acl */
6056 tgl@sss.pgh.pa.us 4306 [ + + + + :CBC 54582 : switch (objtype)
+ + - ]
4307 : : {
3128 peter_e@gmx.net 4308 : 38101 : case OBJECT_TABLE:
6056 tgl@sss.pgh.pa.us 4309 : 38101 : defaclobjtype = DEFACLOBJ_RELATION;
4310 : 38101 : break;
4311 : :
3128 peter_e@gmx.net 4312 : 1195 : case OBJECT_SEQUENCE:
6056 tgl@sss.pgh.pa.us 4313 : 1195 : defaclobjtype = DEFACLOBJ_SEQUENCE;
4314 : 1195 : break;
4315 : :
3128 peter_e@gmx.net 4316 : 10684 : case OBJECT_FUNCTION:
6056 tgl@sss.pgh.pa.us 4317 : 10684 : defaclobjtype = DEFACLOBJ_FUNCTION;
4318 : 10684 : break;
4319 : :
3128 peter_e@gmx.net 4320 : 3788 : case OBJECT_TYPE:
5250 4321 : 3788 : defaclobjtype = DEFACLOBJ_TYPE;
4322 : 3788 : break;
4323 : :
3128 4324 : 710 : case OBJECT_SCHEMA:
3325 teodor@sigaev.ru 4325 : 710 : defaclobjtype = DEFACLOBJ_NAMESPACE;
4326 : 710 : break;
4327 : :
396 fujii@postgresql.org 4328 : 104 : case OBJECT_LARGEOBJECT:
4329 : 104 : defaclobjtype = DEFACLOBJ_LARGEOBJECT;
4330 : 104 : break;
4331 : :
6056 tgl@sss.pgh.pa.us 4332 :UBC 0 : default:
4333 : 0 : return NULL;
4334 : : }
4335 : :
4336 : : /* Look up the relevant pg_default_acl entries */
6056 tgl@sss.pgh.pa.us 4337 :CBC 54582 : glob_acl = get_default_acl_internal(ownerId, InvalidOid, defaclobjtype);
4338 : 54582 : schema_acl = get_default_acl_internal(ownerId, nsp_oid, defaclobjtype);
4339 : :
4340 : : /* Quick out if neither entry exists */
4341 [ + + + + ]: 54582 : if (glob_acl == NULL && schema_acl == NULL)
4342 : 54442 : return NULL;
4343 : :
4344 : : /* We need to know the hard-wired default value, too */
4345 : 140 : def_acl = acldefault(objtype, ownerId);
4346 : :
4347 : : /* If there's no global entry, substitute the hard-wired default */
4348 [ + + ]: 140 : if (glob_acl == NULL)
4349 : 12 : glob_acl = def_acl;
4350 : :
4351 : : /* Merge in any per-schema privileges */
4352 : 140 : result = aclmerge(glob_acl, schema_acl, ownerId);
4353 : :
4354 : : /*
4355 : : * For efficiency, we want to return NULL if the result equals default.
4356 : : * This requires sorting both arrays to get an accurate comparison.
4357 : : */
4358 : 140 : aclitemsort(result);
4359 : 140 : aclitemsort(def_acl);
4360 [ + + ]: 140 : if (aclequal(result, def_acl))
4361 : 16 : result = NULL;
4362 : :
4363 : 140 : return result;
4364 : : }
4365 : :
4366 : : /*
4367 : : * Record dependencies on roles mentioned in a new object's ACL.
4368 : : */
4369 : : void
2734 4370 : 57120 : recordDependencyOnNewAcl(Oid classId, Oid objectId, int32 objsubId,
4371 : : Oid ownerId, Acl *acl)
4372 : : {
4373 : : int nmembers;
4374 : : Oid *members;
4375 : :
4376 : : /* Nothing to do if ACL is defaulted */
4377 [ + + ]: 57120 : if (acl == NULL)
4378 : 56996 : return;
4379 : :
4380 : : /* Extract roles mentioned in ACL */
4381 : 124 : nmembers = aclmembers(acl, &members);
4382 : :
4383 : : /* Update the shared dependency ACL info */
4384 : 124 : updateAclDependencies(classId, objectId, objsubId,
4385 : : ownerId,
4386 : : 0, NULL,
4387 : : nmembers, members);
4388 : : }
4389 : :
4390 : : /*
4391 : : * Record initial privileges for the top-level object passed in.
4392 : : *
4393 : : * For the object passed in, this will record its ACL (if any) and the ACLs of
4394 : : * any sub-objects (eg: columns) into pg_init_privs.
4395 : : */
4396 : : void
3383 sfrost@snowman.net 4397 : 53 : recordExtObjInitPriv(Oid objoid, Oid classoid)
4398 : : {
4399 : : /*
4400 : : * pg_class / pg_attribute
4401 : : *
4402 : : * If this is a relation then we need to see if there are any sub-objects
4403 : : * (eg: columns) for it and, if so, be sure to call
4404 : : * recordExtensionInitPrivWorker() for each one.
4405 : : */
4406 [ + + ]: 53 : if (classoid == RelationRelationId)
4407 : : {
4408 : : Form_pg_class pg_class_tuple;
4409 : : Datum aclDatum;
4410 : : bool isNull;
4411 : : HeapTuple tuple;
4412 : :
4413 : 8 : tuple = SearchSysCache1(RELOID, ObjectIdGetDatum(objoid));
4414 [ - + ]: 8 : if (!HeapTupleIsValid(tuple))
3383 sfrost@snowman.net 4415 [ # # ]:UBC 0 : elog(ERROR, "cache lookup failed for relation %u", objoid);
3383 sfrost@snowman.net 4416 :CBC 8 : pg_class_tuple = (Form_pg_class) GETSTRUCT(tuple);
4417 : :
4418 : : /*
4419 : : * Indexes don't have permissions, neither do the pg_class rows for
4420 : : * composite types. (These cases are unreachable given the
4421 : : * restrictions in ALTER EXTENSION ADD, but let's check anyway.)
4422 : : */
3028 alvherre@alvh.no-ip. 4423 [ + - ]: 8 : if (pg_class_tuple->relkind == RELKIND_INDEX ||
2209 tgl@sss.pgh.pa.us 4424 [ + - ]: 8 : pg_class_tuple->relkind == RELKIND_PARTITIONED_INDEX ||
4425 [ - + ]: 8 : pg_class_tuple->relkind == RELKIND_COMPOSITE_TYPE)
4426 : : {
2209 tgl@sss.pgh.pa.us 4427 :UBC 0 : ReleaseSysCache(tuple);
3383 sfrost@snowman.net 4428 : 0 : return;
4429 : : }
4430 : :
4431 : : /*
4432 : : * If this isn't a sequence then it's possibly going to have
4433 : : * column-level ACLs associated with it.
4434 : : */
3383 sfrost@snowman.net 4435 [ + + ]:CBC 8 : if (pg_class_tuple->relkind != RELKIND_SEQUENCE)
4436 : : {
4437 : : AttrNumber curr_att;
4438 : 7 : AttrNumber nattrs = pg_class_tuple->relnatts;
4439 : :
4440 [ + + ]: 19 : for (curr_att = 1; curr_att <= nattrs; curr_att++)
4441 : : {
4442 : : HeapTuple attTuple;
4443 : : Datum attaclDatum;
4444 : :
4445 : 12 : attTuple = SearchSysCache2(ATTNUM,
4446 : : ObjectIdGetDatum(objoid),
4447 : : Int16GetDatum(curr_att));
4448 : :
4449 [ - + ]: 12 : if (!HeapTupleIsValid(attTuple))
3383 sfrost@snowman.net 4450 :UBC 0 : continue;
4451 : :
4452 : : /* ignore dropped columns */
3383 sfrost@snowman.net 4453 [ + + ]:CBC 12 : if (((Form_pg_attribute) GETSTRUCT(attTuple))->attisdropped)
4454 : : {
4455 : 1 : ReleaseSysCache(attTuple);
4456 : 1 : continue;
4457 : : }
4458 : :
4459 : 11 : attaclDatum = SysCacheGetAttr(ATTNUM, attTuple,
4460 : : Anum_pg_attribute_attacl,
4461 : : &isNull);
4462 : :
4463 : : /* no need to do anything for a NULL ACL */
4464 [ + + ]: 11 : if (isNull)
4465 : : {
4466 : 9 : ReleaseSysCache(attTuple);
4467 : 9 : continue;
4468 : : }
4469 : :
4470 : 2 : recordExtensionInitPrivWorker(objoid, classoid, curr_att,
4471 : 2 : DatumGetAclP(attaclDatum));
4472 : :
4473 : 2 : ReleaseSysCache(attTuple);
4474 : : }
4475 : : }
4476 : :
4477 : 8 : aclDatum = SysCacheGetAttr(RELOID, tuple, Anum_pg_class_relacl,
4478 : : &isNull);
4479 : :
4480 : : /* Add the record, if any, for the top-level object */
4481 [ + + ]: 8 : if (!isNull)
4482 : 4 : recordExtensionInitPrivWorker(objoid, classoid, 0,
4483 : 4 : DatumGetAclP(aclDatum));
4484 : :
4485 : 8 : ReleaseSysCache(tuple);
4486 : : }
872 tgl@sss.pgh.pa.us 4487 [ - + ]: 45 : else if (classoid == LargeObjectRelationId)
4488 : : {
4489 : : /* For large objects, we must consult pg_largeobject_metadata */
4490 : : Datum aclDatum;
4491 : : bool isNull;
4492 : : HeapTuple tuple;
4493 : : ScanKeyData entry[1];
4494 : : SysScanDesc scan;
4495 : : Relation relation;
4496 : :
4497 : : /*
4498 : : * Note: this is dead code, given that we don't allow large objects to
4499 : : * be made extension members. But it seems worth carrying in case
4500 : : * some future caller of this function has need for it.
4501 : : */
2661 andres@anarazel.de 4502 :UBC 0 : relation = table_open(LargeObjectMetadataRelationId, RowExclusiveLock);
4503 : :
4504 : : /* There's no syscache for pg_largeobject_metadata */
3383 sfrost@snowman.net 4505 : 0 : ScanKeyInit(&entry[0],
4506 : : Anum_pg_largeobject_metadata_oid,
4507 : : BTEqualStrategyNumber, F_OIDEQ,
4508 : : ObjectIdGetDatum(objoid));
4509 : :
4510 : 0 : scan = systable_beginscan(relation,
4511 : : LargeObjectMetadataOidIndexId, true,
4512 : : NULL, 1, entry);
4513 : :
4514 : 0 : tuple = systable_getnext(scan);
4515 [ # # ]: 0 : if (!HeapTupleIsValid(tuple))
3257 tgl@sss.pgh.pa.us 4516 [ # # ]: 0 : elog(ERROR, "could not find tuple for large object %u", objoid);
4517 : :
3383 sfrost@snowman.net 4518 : 0 : aclDatum = heap_getattr(tuple,
4519 : : Anum_pg_largeobject_metadata_lomacl,
4520 : : RelationGetDescr(relation), &isNull);
4521 : :
4522 : : /* Add the record, if any, for the top-level object */
4523 [ # # ]: 0 : if (!isNull)
4524 : 0 : recordExtensionInitPrivWorker(objoid, classoid, 0,
4525 : 0 : DatumGetAclP(aclDatum));
4526 : :
4527 : 0 : systable_endscan(scan);
4528 : : }
4529 : : /* This will error on unsupported classoid. */
1204 peter@eisentraut.org 4530 [ + + ]:CBC 45 : else if (get_object_attnum_acl(classoid) != InvalidAttrNumber)
4531 : : {
4532 : : SysCacheIdentifier cacheid;
4533 : : Datum aclDatum;
4534 : : bool isNull;
4535 : : HeapTuple tuple;
4536 : :
736 tgl@sss.pgh.pa.us 4537 : 34 : cacheid = get_object_catcache_oid(classoid);
4538 : 34 : tuple = SearchSysCache1(cacheid, ObjectIdGetDatum(objoid));
3383 sfrost@snowman.net 4539 [ - + ]: 34 : if (!HeapTupleIsValid(tuple))
1204 peter@eisentraut.org 4540 [ # # ]:UBC 0 : elog(ERROR, "cache lookup failed for %s %u",
4541 : : get_object_class_descr(classoid), objoid);
4542 : :
736 tgl@sss.pgh.pa.us 4543 :CBC 34 : aclDatum = SysCacheGetAttr(cacheid, tuple,
1204 peter@eisentraut.org 4544 : 34 : get_object_attnum_acl(classoid),
4545 : : &isNull);
4546 : :
4547 : : /* Add the record, if any, for the top-level object */
3383 sfrost@snowman.net 4548 [ + + ]: 34 : if (!isNull)
4549 : 5 : recordExtensionInitPrivWorker(objoid, classoid, 0,
687 tgl@sss.pgh.pa.us 4550 : 5 : DatumGetAclP(aclDatum));
4551 : :
3383 sfrost@snowman.net 4552 : 34 : ReleaseSysCache(tuple);
4553 : : }
4554 : : }
4555 : :
4556 : : /*
4557 : : * For the object passed in, remove its ACL and the ACLs of any object subIds
4558 : : * from pg_init_privs (via recordExtensionInitPrivWorker()).
4559 : : */
4560 : : void
4561 : 179 : removeExtObjInitPriv(Oid objoid, Oid classoid)
4562 : : {
4563 : : /*
4564 : : * If this is a relation then we need to see if there are any sub-objects
4565 : : * (eg: columns) for it and, if so, be sure to call
4566 : : * recordExtensionInitPrivWorker() for each one.
4567 : : */
4568 [ + + ]: 179 : if (classoid == RelationRelationId)
4569 : : {
4570 : : Form_pg_class pg_class_tuple;
4571 : : HeapTuple tuple;
4572 : :
4573 : 35 : tuple = SearchSysCache1(RELOID, ObjectIdGetDatum(objoid));
4574 [ - + ]: 35 : if (!HeapTupleIsValid(tuple))
3383 sfrost@snowman.net 4575 [ # # ]:UBC 0 : elog(ERROR, "cache lookup failed for relation %u", objoid);
3383 sfrost@snowman.net 4576 :CBC 35 : pg_class_tuple = (Form_pg_class) GETSTRUCT(tuple);
4577 : :
4578 : : /*
4579 : : * Indexes don't have permissions, neither do the pg_class rows for
4580 : : * composite types. (These cases are unreachable given the
4581 : : * restrictions in ALTER EXTENSION DROP, but let's check anyway.)
4582 : : */
3028 alvherre@alvh.no-ip. 4583 [ + - ]: 35 : if (pg_class_tuple->relkind == RELKIND_INDEX ||
2209 tgl@sss.pgh.pa.us 4584 [ + - ]: 35 : pg_class_tuple->relkind == RELKIND_PARTITIONED_INDEX ||
4585 [ - + ]: 35 : pg_class_tuple->relkind == RELKIND_COMPOSITE_TYPE)
4586 : : {
2209 tgl@sss.pgh.pa.us 4587 :UBC 0 : ReleaseSysCache(tuple);
3383 sfrost@snowman.net 4588 : 0 : return;
4589 : : }
4590 : :
4591 : : /*
4592 : : * If this isn't a sequence then it's possibly going to have
4593 : : * column-level ACLs associated with it.
4594 : : */
3383 sfrost@snowman.net 4595 [ + - ]:CBC 35 : if (pg_class_tuple->relkind != RELKIND_SEQUENCE)
4596 : : {
4597 : : AttrNumber curr_att;
4598 : 35 : AttrNumber nattrs = pg_class_tuple->relnatts;
4599 : :
4600 [ + + ]: 1178 : for (curr_att = 1; curr_att <= nattrs; curr_att++)
4601 : : {
4602 : : HeapTuple attTuple;
4603 : :
4604 : 1143 : attTuple = SearchSysCache2(ATTNUM,
4605 : : ObjectIdGetDatum(objoid),
4606 : : Int16GetDatum(curr_att));
4607 : :
4608 [ - + ]: 1143 : if (!HeapTupleIsValid(attTuple))
3383 sfrost@snowman.net 4609 :UBC 0 : continue;
4610 : :
4611 : : /* when removing, remove all entries, even dropped columns */
4612 : :
687 tgl@sss.pgh.pa.us 4613 :CBC 1143 : recordExtensionInitPrivWorker(objoid, classoid, curr_att, NULL);
4614 : :
3383 sfrost@snowman.net 4615 : 1143 : ReleaseSysCache(attTuple);
4616 : : }
4617 : : }
4618 : :
4619 : 35 : ReleaseSysCache(tuple);
4620 : : }
4621 : :
4622 : : /* Remove the record, if any, for the top-level object */
687 tgl@sss.pgh.pa.us 4623 : 179 : recordExtensionInitPrivWorker(objoid, classoid, 0, NULL);
4624 : : }
4625 : :
4626 : : /*
4627 : : * Record initial ACL for an extension object
4628 : : *
4629 : : * Can be called at any time, we check if 'creating_extension' is set and, if
4630 : : * not, exit immediately.
4631 : : *
4632 : : * Pass in the object OID, the OID of the class (the OID of the table which
4633 : : * the object is defined in) and the 'sub' id of the object (objsubid), if
4634 : : * any. If there is no 'sub' id (they are currently only used for columns of
4635 : : * tables) then pass in '0'. Finally, pass in the complete ACL to store.
4636 : : *
4637 : : * If an ACL already exists for this object/sub-object then we will replace
4638 : : * it with what is passed in.
4639 : : *
4640 : : * Passing in NULL for 'new_acl' will result in the entry for the object being
4641 : : * removed, if one is found.
4642 : : */
4643 : : static void
4644 : 14239 : recordExtensionInitPriv(Oid objoid, Oid classoid, int objsubid, Acl *new_acl)
4645 : : {
4646 : : /*
4647 : : * Generally, we only record the initial privileges when an extension is
4648 : : * being created, but because we don't actually use CREATE EXTENSION
4649 : : * during binary upgrades with pg_upgrade, there is a variable to let us
4650 : : * know that the GRANT and REVOKE statements being issued, while this
4651 : : * variable is true, are for the initial privileges of the extension
4652 : : * object and therefore we need to record them.
4653 : : */
3681 sfrost@snowman.net 4654 [ + + + - ]: 14239 : if (!creating_extension && !binary_upgrade_record_init_privs)
4655 : 13804 : return;
4656 : :
687 tgl@sss.pgh.pa.us 4657 : 435 : recordExtensionInitPrivWorker(objoid, classoid, objsubid, new_acl);
4658 : : }
4659 : :
4660 : : /*
4661 : : * Record initial ACL for an extension object, worker.
4662 : : *
4663 : : * This will perform a wholesale replacement of the entire ACL for the object
4664 : : * passed in, therefore be sure to pass in the complete new ACL to use.
4665 : : *
4666 : : * Generally speaking, do *not* use this function directly but instead use
4667 : : * recordExtensionInitPriv(), which checks if 'creating_extension' is set.
4668 : : * This function does *not* check if 'creating_extension' is set as it is also
4669 : : * used when an object is added to or removed from an extension via ALTER
4670 : : * EXTENSION ... ADD/DROP.
4671 : : */
4672 : : static void
736 4673 : 1768 : recordExtensionInitPrivWorker(Oid objoid, Oid classoid, int objsubid,
4674 : : Acl *new_acl)
4675 : : {
4676 : : Relation relation;
4677 : : ScanKeyData key[3];
4678 : : SysScanDesc scan;
4679 : : HeapTuple tuple;
4680 : : HeapTuple oldtuple;
4681 : : int noldmembers;
4682 : : int nnewmembers;
4683 : : Oid *oldmembers;
4684 : : Oid *newmembers;
4685 : :
4686 : : /* We'll need the role membership of the new ACL. */
4687 : 1768 : nnewmembers = aclmembers(new_acl, &newmembers);
4688 : :
4689 : : /* Search pg_init_privs for an existing entry. */
2661 andres@anarazel.de 4690 : 1768 : relation = table_open(InitPrivsRelationId, RowExclusiveLock);
4691 : :
3681 sfrost@snowman.net 4692 : 1768 : ScanKeyInit(&key[0],
4693 : : Anum_pg_init_privs_objoid,
4694 : : BTEqualStrategyNumber, F_OIDEQ,
4695 : : ObjectIdGetDatum(objoid));
4696 : 1768 : ScanKeyInit(&key[1],
4697 : : Anum_pg_init_privs_classoid,
4698 : : BTEqualStrategyNumber, F_OIDEQ,
4699 : : ObjectIdGetDatum(classoid));
4700 : 1768 : ScanKeyInit(&key[2],
4701 : : Anum_pg_init_privs_objsubid,
4702 : : BTEqualStrategyNumber, F_INT4EQ,
4703 : : Int32GetDatum(objsubid));
4704 : :
4705 : 1768 : scan = systable_beginscan(relation, InitPrivsObjIndexId, true,
4706 : : NULL, 3, key);
4707 : :
4708 : : /* There should exist only one entry or none. */
4709 : 1768 : oldtuple = systable_getnext(scan);
4710 : :
4711 : : /* If we find an entry, update it with the latest ACL. */
4712 [ + + ]: 1768 : if (HeapTupleIsValid(oldtuple))
4713 : : {
1389 peter@eisentraut.org 4714 : 138 : Datum values[Natts_pg_init_privs] = {0};
4715 : 138 : bool nulls[Natts_pg_init_privs] = {0};
4716 : 138 : bool replace[Natts_pg_init_privs] = {0};
4717 : : Datum oldAclDatum;
4718 : : bool isNull;
4719 : : Acl *old_acl;
4720 : :
4721 : : /* Update pg_shdepend for roles mentioned in the old/new ACLs. */
736 tgl@sss.pgh.pa.us 4722 : 138 : oldAclDatum = heap_getattr(oldtuple, Anum_pg_init_privs_initprivs,
4723 : : RelationGetDescr(relation), &isNull);
687 4724 [ - + ]: 138 : Assert(!isNull);
4725 : 138 : old_acl = DatumGetAclP(oldAclDatum);
736 4726 : 138 : noldmembers = aclmembers(old_acl, &oldmembers);
4727 : :
4728 : 138 : updateInitAclDependencies(classoid, objoid, objsubid,
4729 : : noldmembers, oldmembers,
4730 : : nnewmembers, newmembers);
4731 : :
4732 : : /* If we have a new ACL to set, then update the row with it. */
687 4733 [ + + + - ]: 138 : if (new_acl && ACL_NUM(new_acl) != 0)
4734 : : {
2985 4735 : 89 : values[Anum_pg_init_privs_initprivs - 1] = PointerGetDatum(new_acl);
4736 : 89 : replace[Anum_pg_init_privs_initprivs - 1] = true;
4737 : :
3681 sfrost@snowman.net 4738 : 89 : oldtuple = heap_modify_tuple(oldtuple, RelationGetDescr(relation),
4739 : : values, nulls, replace);
4740 : :
3381 alvherre@alvh.no-ip. 4741 : 89 : CatalogTupleUpdate(relation, &oldtuple->t_self, oldtuple);
4742 : : }
4743 : : else
4744 : : {
4745 : : /* new_acl is NULL/empty, so delete the entry we found. */
3380 tgl@sss.pgh.pa.us 4746 : 49 : CatalogTupleDelete(relation, &oldtuple->t_self);
4747 : : }
4748 : : }
4749 : : else
4750 : : {
1389 peter@eisentraut.org 4751 : 1630 : Datum values[Natts_pg_init_privs] = {0};
4752 : 1630 : bool nulls[Natts_pg_init_privs] = {0};
4753 : :
4754 : : /*
4755 : : * Only add a new entry if the new ACL is non-NULL.
4756 : : *
4757 : : * If we are passed in a NULL ACL and no entry exists, we can just
4758 : : * fall through and do nothing.
4759 : : */
687 tgl@sss.pgh.pa.us 4760 [ + + + - ]: 1630 : if (new_acl && ACL_NUM(new_acl) != 0)
4761 : : {
4762 : : /* No entry found, so add it. */
3383 sfrost@snowman.net 4763 : 354 : values[Anum_pg_init_privs_objoid - 1] = ObjectIdGetDatum(objoid);
4764 : 354 : values[Anum_pg_init_privs_classoid - 1] = ObjectIdGetDatum(classoid);
4765 : 354 : values[Anum_pg_init_privs_objsubid - 1] = Int32GetDatum(objsubid);
4766 : :
4767 : : /* This function only handles initial privileges of extensions */
4768 : 354 : values[Anum_pg_init_privs_privtype - 1] =
4769 : 354 : CharGetDatum(INITPRIVS_EXTENSION);
4770 : :
2985 tgl@sss.pgh.pa.us 4771 : 354 : values[Anum_pg_init_privs_initprivs - 1] = PointerGetDatum(new_acl);
4772 : :
3383 sfrost@snowman.net 4773 : 354 : tuple = heap_form_tuple(RelationGetDescr(relation), values, nulls);
4774 : :
3381 alvherre@alvh.no-ip. 4775 : 354 : CatalogTupleInsert(relation, tuple);
4776 : :
4777 : : /* Update pg_shdepend, too. */
736 tgl@sss.pgh.pa.us 4778 : 354 : noldmembers = 0;
4779 : 354 : oldmembers = NULL;
4780 : :
4781 : 354 : updateInitAclDependencies(classoid, objoid, objsubid,
4782 : : noldmembers, oldmembers,
4783 : : nnewmembers, newmembers);
4784 : : }
4785 : : }
4786 : :
3672 sfrost@snowman.net 4787 : 1768 : systable_endscan(scan);
4788 : :
4789 : : /* prevent error when processing objects multiple times */
3681 4790 : 1768 : CommandCounterIncrement();
4791 : :
2661 andres@anarazel.de 4792 : 1768 : table_close(relation, RowExclusiveLock);
3681 sfrost@snowman.net 4793 : 1768 : }
4794 : :
4795 : : /*
4796 : : * ReplaceRoleInInitPriv
4797 : : *
4798 : : * Used by shdepReassignOwned to replace mentions of a role in pg_init_privs.
4799 : : */
4800 : : void
687 tgl@sss.pgh.pa.us 4801 : 12 : ReplaceRoleInInitPriv(Oid oldroleid, Oid newroleid,
4802 : : Oid classid, Oid objid, int32 objsubid)
4803 : : {
4804 : : Relation rel;
4805 : : ScanKeyData key[3];
4806 : : SysScanDesc scan;
4807 : : HeapTuple oldtuple;
4808 : : Datum oldAclDatum;
4809 : : bool isNull;
4810 : : Acl *old_acl;
4811 : : Acl *new_acl;
4812 : : HeapTuple newtuple;
4813 : : int noldmembers;
4814 : : int nnewmembers;
4815 : : Oid *oldmembers;
4816 : : Oid *newmembers;
4817 : :
4818 : : /* Search for existing pg_init_privs entry for the target object. */
4819 : 12 : rel = table_open(InitPrivsRelationId, RowExclusiveLock);
4820 : :
4821 : 12 : ScanKeyInit(&key[0],
4822 : : Anum_pg_init_privs_objoid,
4823 : : BTEqualStrategyNumber, F_OIDEQ,
4824 : : ObjectIdGetDatum(objid));
4825 : 12 : ScanKeyInit(&key[1],
4826 : : Anum_pg_init_privs_classoid,
4827 : : BTEqualStrategyNumber, F_OIDEQ,
4828 : : ObjectIdGetDatum(classid));
4829 : 12 : ScanKeyInit(&key[2],
4830 : : Anum_pg_init_privs_objsubid,
4831 : : BTEqualStrategyNumber, F_INT4EQ,
4832 : : Int32GetDatum(objsubid));
4833 : :
4834 : 12 : scan = systable_beginscan(rel, InitPrivsObjIndexId, true,
4835 : : NULL, 3, key);
4836 : :
4837 : : /* There should exist only one entry or none. */
4838 : 12 : oldtuple = systable_getnext(scan);
4839 : :
4840 [ - + ]: 12 : if (!HeapTupleIsValid(oldtuple))
4841 : : {
4842 : : /*
4843 : : * Hmm, why are we here if there's no entry? But pack up and go away
4844 : : * quietly.
4845 : : */
687 tgl@sss.pgh.pa.us 4846 :UBC 0 : systable_endscan(scan);
4847 : 0 : table_close(rel, RowExclusiveLock);
4848 : 0 : return;
4849 : : }
4850 : :
4851 : : /* Get a writable copy of the existing ACL. */
687 tgl@sss.pgh.pa.us 4852 :CBC 12 : oldAclDatum = heap_getattr(oldtuple, Anum_pg_init_privs_initprivs,
4853 : : RelationGetDescr(rel), &isNull);
4854 [ - + ]: 12 : Assert(!isNull);
4855 : 12 : old_acl = DatumGetAclPCopy(oldAclDatum);
4856 : :
4857 : : /*
4858 : : * Generate new ACL. This usage of aclnewowner is a bit off-label when
4859 : : * oldroleid isn't the owner; but it does the job fine.
4860 : : */
4861 : 12 : new_acl = aclnewowner(old_acl, oldroleid, newroleid);
4862 : :
4863 : : /*
4864 : : * If we end with an empty ACL, delete the pg_init_privs entry. (That
4865 : : * probably can't happen here, but we may as well cover the case.)
4866 : : */
4867 [ + - - + ]: 12 : if (new_acl == NULL || ACL_NUM(new_acl) == 0)
4868 : : {
687 tgl@sss.pgh.pa.us 4869 :UBC 0 : CatalogTupleDelete(rel, &oldtuple->t_self);
4870 : : }
4871 : : else
4872 : : {
687 tgl@sss.pgh.pa.us 4873 :CBC 12 : Datum values[Natts_pg_init_privs] = {0};
4874 : 12 : bool nulls[Natts_pg_init_privs] = {0};
4875 : 12 : bool replaces[Natts_pg_init_privs] = {0};
4876 : :
4877 : : /* Update existing entry. */
4878 : 12 : values[Anum_pg_init_privs_initprivs - 1] = PointerGetDatum(new_acl);
4879 : 12 : replaces[Anum_pg_init_privs_initprivs - 1] = true;
4880 : :
4881 : 12 : newtuple = heap_modify_tuple(oldtuple, RelationGetDescr(rel),
4882 : : values, nulls, replaces);
4883 : 12 : CatalogTupleUpdate(rel, &newtuple->t_self, newtuple);
4884 : : }
4885 : :
4886 : : /*
4887 : : * Update the shared dependency ACL info.
4888 : : */
4889 : 12 : noldmembers = aclmembers(old_acl, &oldmembers);
4890 : 12 : nnewmembers = aclmembers(new_acl, &newmembers);
4891 : :
4892 : 12 : updateInitAclDependencies(classid, objid, objsubid,
4893 : : noldmembers, oldmembers,
4894 : : nnewmembers, newmembers);
4895 : :
4896 : 12 : systable_endscan(scan);
4897 : :
4898 : : /* prevent error when processing objects multiple times */
4899 : 12 : CommandCounterIncrement();
4900 : :
4901 : 12 : table_close(rel, RowExclusiveLock);
4902 : : }
4903 : :
4904 : : /*
4905 : : * RemoveRoleFromInitPriv
4906 : : *
4907 : : * Used by shdepDropOwned to remove mentions of a role in pg_init_privs.
4908 : : */
4909 : : void
736 4910 : 14 : RemoveRoleFromInitPriv(Oid roleid, Oid classid, Oid objid, int32 objsubid)
4911 : : {
4912 : : Relation rel;
4913 : : ScanKeyData key[3];
4914 : : SysScanDesc scan;
4915 : : HeapTuple oldtuple;
4916 : : SysCacheIdentifier cacheid;
4917 : : HeapTuple objtuple;
4918 : : Oid ownerId;
4919 : : Datum oldAclDatum;
4920 : : bool isNull;
4921 : : Acl *old_acl;
4922 : : Acl *new_acl;
4923 : : HeapTuple newtuple;
4924 : : int noldmembers;
4925 : : int nnewmembers;
4926 : : Oid *oldmembers;
4927 : : Oid *newmembers;
4928 : :
4929 : : /* Search for existing pg_init_privs entry for the target object. */
4930 : 14 : rel = table_open(InitPrivsRelationId, RowExclusiveLock);
4931 : :
4932 : 14 : ScanKeyInit(&key[0],
4933 : : Anum_pg_init_privs_objoid,
4934 : : BTEqualStrategyNumber, F_OIDEQ,
4935 : : ObjectIdGetDatum(objid));
4936 : 14 : ScanKeyInit(&key[1],
4937 : : Anum_pg_init_privs_classoid,
4938 : : BTEqualStrategyNumber, F_OIDEQ,
4939 : : ObjectIdGetDatum(classid));
4940 : 14 : ScanKeyInit(&key[2],
4941 : : Anum_pg_init_privs_objsubid,
4942 : : BTEqualStrategyNumber, F_INT4EQ,
4943 : : Int32GetDatum(objsubid));
4944 : :
4945 : 14 : scan = systable_beginscan(rel, InitPrivsObjIndexId, true,
4946 : : NULL, 3, key);
4947 : :
4948 : : /* There should exist only one entry or none. */
4949 : 14 : oldtuple = systable_getnext(scan);
4950 : :
4951 [ - + ]: 14 : if (!HeapTupleIsValid(oldtuple))
4952 : : {
4953 : : /*
4954 : : * Hmm, why are we here if there's no entry? But pack up and go away
4955 : : * quietly.
4956 : : */
736 tgl@sss.pgh.pa.us 4957 :UBC 0 : systable_endscan(scan);
4958 : 0 : table_close(rel, RowExclusiveLock);
4959 : 0 : return;
4960 : : }
4961 : :
4962 : : /* Get a writable copy of the existing ACL. */
736 tgl@sss.pgh.pa.us 4963 :CBC 14 : oldAclDatum = heap_getattr(oldtuple, Anum_pg_init_privs_initprivs,
4964 : : RelationGetDescr(rel), &isNull);
687 4965 [ - + ]: 14 : Assert(!isNull);
4966 : 14 : old_acl = DatumGetAclPCopy(oldAclDatum);
4967 : :
4968 : : /*
4969 : : * We need the members of both old and new ACLs so we can correct the
4970 : : * shared dependency information. Collect data before
4971 : : * merge_acl_with_grant throws away old_acl.
4972 : : */
736 4973 : 14 : noldmembers = aclmembers(old_acl, &oldmembers);
4974 : :
4975 : : /* Must find out the owner's OID the hard way. */
4976 : 14 : cacheid = get_object_catcache_oid(classid);
4977 : 14 : objtuple = SearchSysCache1(cacheid, ObjectIdGetDatum(objid));
4978 [ - + ]: 14 : if (!HeapTupleIsValid(objtuple))
736 tgl@sss.pgh.pa.us 4979 [ # # ]:UBC 0 : elog(ERROR, "cache lookup failed for %s %u",
4980 : : get_object_class_descr(classid), objid);
4981 : :
736 tgl@sss.pgh.pa.us 4982 :CBC 14 : ownerId = DatumGetObjectId(SysCacheGetAttrNotNull(cacheid,
4983 : : objtuple,
4984 : 14 : get_object_attnum_owner(classid)));
4985 : 14 : ReleaseSysCache(objtuple);
4986 : :
4987 : : /*
4988 : : * Generate new ACL. Grantor of rights is always the same as the owner.
4989 : : */
730 4990 [ + - ]: 14 : if (old_acl != NULL)
4991 : 14 : new_acl = merge_acl_with_grant(old_acl,
4992 : : false, /* is_grant */
4993 : : false, /* grant_option */
4994 : : DROP_RESTRICT,
730 tgl@sss.pgh.pa.us 4995 :ECB (14) : list_make1_oid(roleid),
4996 : : ACLITEM_ALL_PRIV_BITS,
4997 : : ownerId,
4998 : : ownerId);
4999 : : else
730 tgl@sss.pgh.pa.us 5000 :UBC 0 : new_acl = NULL; /* this case shouldn't happen, probably */
5001 : :
5002 : : /* If we end with an empty ACL, delete the pg_init_privs entry. */
736 tgl@sss.pgh.pa.us 5003 [ + - - + ]:CBC 14 : if (new_acl == NULL || ACL_NUM(new_acl) == 0)
5004 : : {
736 tgl@sss.pgh.pa.us 5005 :UBC 0 : CatalogTupleDelete(rel, &oldtuple->t_self);
5006 : : }
5007 : : else
5008 : : {
736 tgl@sss.pgh.pa.us 5009 :CBC 14 : Datum values[Natts_pg_init_privs] = {0};
5010 : 14 : bool nulls[Natts_pg_init_privs] = {0};
5011 : 14 : bool replaces[Natts_pg_init_privs] = {0};
5012 : :
5013 : : /* Update existing entry. */
5014 : 14 : values[Anum_pg_init_privs_initprivs - 1] = PointerGetDatum(new_acl);
5015 : 14 : replaces[Anum_pg_init_privs_initprivs - 1] = true;
5016 : :
5017 : 14 : newtuple = heap_modify_tuple(oldtuple, RelationGetDescr(rel),
5018 : : values, nulls, replaces);
5019 : 14 : CatalogTupleUpdate(rel, &newtuple->t_self, newtuple);
5020 : : }
5021 : :
5022 : : /*
5023 : : * Update the shared dependency ACL info.
5024 : : */
5025 : 14 : nnewmembers = aclmembers(new_acl, &newmembers);
5026 : :
5027 : 14 : updateInitAclDependencies(classid, objid, objsubid,
5028 : : noldmembers, oldmembers,
5029 : : nnewmembers, newmembers);
5030 : :
5031 : 14 : systable_endscan(scan);
5032 : :
5033 : : /* prevent error when processing objects multiple times */
5034 : 14 : CommandCounterIncrement();
5035 : :
5036 : 14 : table_close(rel, RowExclusiveLock);
5037 : : }
|
