作者 | JiekeXu

来源 | JiekeXu DBA之路（ID: JiekeXu_IT）

大家好，我是 JiekeXu,很高兴又和大家见面了,今天和大家一起来讨论一下如何最小化授予普通用户查看执行计划所需要的权限，欢迎点击上方蓝字关注我，标星或置顶，更多干货第一时间到达！

前  言

通常在 scott 用户下，查看有几张表我都用 “select * from TAB;” ,但今天想看一下这个 SQL 的执行计划。结果郁闷了，普通用户 scott 无法查看，报错没有权限查看视图“V$SESSION”。

没有查询视图的权限，那就给他查询视图是我权限，众所周知，“V$SESSION” 视图是来源于 “V_$SESSION”,那么赋予普通用户 Scott 查询 “V_$SESSION” 的权限就可以了，那么来试试看。

再次使用 DBMS_XPLAY.DISPLAY_CURSOR 查看执行计划还是一样的报错！

那么，这个 DBMS_XPLAY 到底需要什么样的权限呢？看来按照报错赋予权限还是不够的。我们来看看官方文档有没有相关信息。

我们来翻译一下：

该 DBMS_XPLAN 包提供五个表函数。

下面列出了这些功能：

DISPLAY - 格式化和显示计划表的内容。

DISPLAY_AWR - 格式化并显示 AWR 中存储的 SQL 语句的执行计划的内容。

DISPLAY_CURSOR - 格式化和显示任何加载游标的执行计划的内容。

DISPLAY_SQL_PLAN_BASELINE - 显示由 SQL 句柄标识的 SQL 语句的一个或多个执行计划

DISPLAY_SQLSET - 格式化并显示存储在 SQL 调整集中的语句的执行计划的内容。

DBMS_XPLAN 安全模型

这个包以调用用户的特权运行，而不是包所有者(SYS)。

表函数 DISPLAY_CURSOR 需要在以下固定视图上有 SELECT 或 READ 权限:V$SQL_PLAN, V$SESSION 和 V$SQL_PLAN_STATISTICS_ALL。这个函数还需要对 V$SQL 有 SELECT/READ 权限。

DISPLAY_AWR 功能需要用户拥有 SELECT 或 READ 特权 DBA_HIST_SQL_PLAN，DBA_HIST_SQLTEXT 和 V$DATABASE。

DISPLAY_SQLSET 功能需要用户拥有 SELECT 或 READ 特权的 ALL_SQLSET_STATEMENTS 和 ALL_SQLSET_PLANS。

DISPLAY_SQL_PLAN_BASELINE 函数要求用户具有 SELECT 或 READ 权限 DBA_SQL_PLAN_BASELINES 以及执行用户试图获取计划的 SQL 语句的权限。

上述特权作为 SELECT_CATALOG_ROLE 的一部分自动授予。

说的比较明确了，DISPLAY_CURSOR 需要有 V$SQL_PLAN, V$SESSION 和 V$SQL_PLAN_STATISTICS_ALL 和 V$SQL 四个视图的查询权限。那么看完上面的官方解释后，我们再来试一试。

普通用户 Scott 查看执行计划

欧耶，可以查看执行计划了，那么普通用户使用 DISPLAY_AWR 查看执行计划只要授予查询此三视图 DBA_HIST_SQL_PLAN，DBA_HIST_SQLTEXT 和 V$DATABASE 的权限，也是没有问题的，这里就不再演示了。

总   结

说了这么多来总结一下吧，普通用户使用 DBMS_XPLAN.DISPLAY_CURSOR 查看执行提示没有权限时，由于对权限的严格把控，既不能直接授予 DBA 权限也不能授予 select any table 和 select any dictionary 权限!!!只需要单独授予 V$SQL_PLAN, V$SESSION 和 V$SQL_PLAN_STATISTICS_ALL 和 V$SQL 这四个视图的查询权限即可。

~本次分享到此结束啦~

——————————————————————--—--————

公众号：JiekeXu DBA之路
墨天轮：https://www.modb.pro/u/4347
CSDN ：https://blog.csdn.net/JiekeXu
腾讯云：https://cloud.tencent.com/developer/user/5645107

————————————————————————----———