在大部份系统中，权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如：某某人可以进入某个控制，仓库不充许查看有关部门的字段等等)。

　　但在某些系统中，权限控制又必须定义到数据行访问权限的控制，此需求一般出现在同一系统，不同的相对独立机构使用的情况。(如：集团下属多个子公司，所有子公司使用同一套数据表，但不同子公司的数据相对隔离)，绝大多数人会选择在View加上Where子句来进行数据隔离。此方法编码工作量大、系统适应用户管理体系的弹性空间较小，一旦权限逻辑发生变动，就可能需要修改权限体系，导致所有的View都必须修改。

　　本文探讨的使用Oracle提供的Policy管理方法来实现数据行的隔离

　　注意:这里的policy是在9i上

　　(1)建立数据表(t_policy):

　　CREATE TABLE T_POLICY(T1  VARCHAR2(10 BYTE),T2  NUMBER(10));insert into t_policy values('a',10);insert into t_policy values('b',20);insert into t_policy values('c',30);commit;

　　(2)建立测试policy的函数:

　　CREATE OR REPLACE function Fn_GetPolicy(P_Schema In Varchar2,P_Object In Varchar2) return varchar2 isResult varchar2(1000);beginResult:='t2 not in (10)';return(Result);end Fn_GetPolicy;/

　　(3)加入policy:

　　declareBeginDbms_Rls.Add_Policy(Object_Schema =>'niegc',  --数据表(或视图)所在的Schema名称Object_Name =>'T_Policy', --数据表(或视图)的名称Policy_Name =>'T_TestPolicy', --POLICY的名称，主要用于将来对Policy的管理Function_Schema =>'NIEGC',  --返回Where子句的函数所在Schema名称Policy_Function =>'Fn_GetPolicy', --返回Where子句的函数名称Statement_Types =>'Select,Insert,Update,Delete', --要使用该Policy的DML类型，如'Select,Insert,Update,Delete'Update_Check =>True, --仅适用于Statement_Type为'Insert,Update'，值为'True'或'False'Enable =>True    --是否启用，值为'True'或'False');end;

　　注：如果Update_Check设为'True'，则用户插入的值不符合Policy_Function返回条件时，该DML执行返回错误信息。

　　现在就可以工作了:

select * from t_policy;

　　看看结果怎样,是不是少了t2=10这项了.

　　(4)删除policy

　　declarebegindbms_rls.drop_policy('niegc','T_POLICY','T_TESTPOLICY');end;

　　(5)设置policy的状态

　　declarebegindbms_rls.enable_policy('niegc','t_policy','t_testpolicy',false);end;

　　(6)查看policy

　　可以通过user_policies这个表看到.