VPD （虚拟专用数据库的简称），主要作用是根据运行环境的上下文，隐式的添加条

件。 好处是在数据库层解决细粒度的角色权限访问，避免在中间层写大量代码；坏处

是数据屏蔽的逻辑太隐蔽了，对于分析查找问题带来一定的困扰

一个简单的例子带你体验VPD策略

--1、在APPS 中创建表，赋权给PO, ONT用户

create table hand_vpd_test_tb1

(column1  varchar2(30),

 db_user  varchar2(30)

 )

grant select ,insert, update on hand_vpd_test_tb1 to po,ont;

--2、创建策略函数 package

--使用 hand_vpd_tst_security.pck 创建策略函数包

--赋权

grant execute on  apps.hand_vpd_tst_security to public;

CREATE PUBLIC SYNONYM hand_vpd_tst_security FOR apps.hand_vpd_tst_security;

--3、添加VPD策略

begin

 DBMS_Rls.Add_Policy('APPS', 'HAND_VPD_TEST_TB1', 'INSERT_POLICY','APPS', 'HAND_VPD_TST_SECURITY.INSERT_SECURITY','INSERT', TRUE);

 DBMS_Rls.Add_Policy('APPS', 'HAND_VPD_TEST_TB1', 'SELECT_POLICY','APPS', 'HAND_VPD_TST_SECURITY.SELECT_SECURITY','SELECT');

end;

select * from DBA_POLICIES a where a.object_name = 'HAND_VPD_TEST_TB1';

-- 删除VPD策略（备用）

begin

  dbms_rls.drop_policy('APPS','HAND_VPD_TEST_TB1','USER_DATA_INSERT_POLICY');

  dbms_rls.drop_policy('APPS','HAND_VPD_TEST_TB1','USER_DATA_SELECT_POLICY');

end;  

--4、Select , Insert  测试

begin

 insert into hand_vpd_test_tb1 values ('test1-po','PO');

 insert into hand_vpd_test_tb1 values ('test1-ont','ONT');

end;

--5、切换到 PO 用户登录

select * from apps.hand_vpd_test_tb1

--结果：

--策略函数执行出错： 

--trace 发现是ora-06550错误，

select value from v$parameter where name = 'user_dump_dest';

alter session set tracefile_identifier = 'Hand_vpd_test2';

alter session set sql_trace=true;

select * from apps.hand_vpd_test_tb1

alter session set sql_trace=false;

--表面是SELECT_SECURITY未声明，实际是XX用户执行策略函数时需要访问被施加策略的对象：hand_vpd_test_tb1，因为对该对象无权限，而导致报此错误；

--解决方案

grant select ,insert, update on hand_vpd_test_tb1 to public;

--6 再次测试：

-- 切换到 PO 用户登录

select * from apps.hand_vpd_test_tb1

--结果只出现  DB_USER=PO的记录；

--7 做insert 测试

 insert into apps.hand_vpd_test_tb1 values ('test1-po','PO');

 --结果：顺利插入

 insert into apps.hand_vpd_test_tb1 values ('test1-ont','ONT');

 --结果：报 ORA-28115: policy with check option violation 错误