Ensure COPY TO on an RLS-enabled table copies no more than it should.

author Tom Lane <tgl@sss.pgh.pa.us>

Fri, 10 Mar 2023 18:52:28 +0000 (13:52 -0500)

committer Tom Lane <tgl@sss.pgh.pa.us>

Fri, 10 Mar 2023 18:52:44 +0000 (13:52 -0500)
author Tom Lane <tgl@sss.pgh.pa.us>
Fri, 10 Mar 2023 18:52:28 +0000 (13:52 -0500)
committer Tom Lane <tgl@sss.pgh.pa.us>
Fri, 10 Mar 2023 18:52:44 +0000 (13:52 -0500)
diff --git a/src/backend/commands/copy.c b/src/backend/commands/copy.c

index e34f583ea704e2bc6eca4ee07233da05ca78cb5f..f3bbd91fe3ed902084eec501d66e911d83343325 100644 (file)
--- a/src/backend/commands/copy.c
+++ b/src/backend/commands/copy.c
@@ -244,11 +244,14 @@ DoCopy(ParseState *pstate, const CopyStmt *stmt,
  
                         /*
                          * Build RangeVar for from clause, fully qualified based on the
-                        * relation which we have opened and locked.
+                        * relation which we have opened and locked.  Use "ONLY" so that
+                        * COPY retrieves rows from only the target table not any
+                        * inheritance children, the same as when RLS doesn't apply.
                          */
                         from = makeRangeVar(get_namespace_name(RelationGetNamespace(rel)),
                                                                 pstrdup(RelationGetRelationName(rel)),
                                                                 -1);
+                       from->inh = false;      /* apply ONLY */
  
                         /* Build query */
                         select = makeNode(SelectStmt);
diff --git a/src/backend/commands/copyto.c b/src/backend/commands/copyto.c

index 8043b4e9b1b434dd695e16bf7a6130f5970a77a5..beea1ac687c10c4cd023e1d36c8d46591bc89c92 100644 (file)
--- a/src/backend/commands/copyto.c
+++ b/src/backend/commands/copyto.c
@@ -524,8 +524,8 @@ BeginCopyTo(ParseState *pstate,
                 /*
                  * With row-level security and a user using "COPY relation TO", we
                  * have to convert the "COPY relation TO" to a query-based COPY (eg:
-                * "COPY (SELECT * FROM relation) TO"), to allow the rewriter to add
-                * in any RLS clauses.
+                * "COPY (SELECT * FROM ONLY relation) TO"), to allow the rewriter to
+                * add in any RLS clauses.
                  *
                  * When this happens, we are passed in the relid of the originally
                  * found relation (which we have locked).  As the planner will look up
diff --git a/src/test/regress/expected/rowsecurity.out b/src/test/regress/expected/rowsecurity.out

index a415ad168c54bc5b695c085244f2ba7afeed29c7..834acf142db76cc1ed20edb894a4fd46706bdc7c 100644 (file)
--- a/src/test/regress/expected/rowsecurity.out
+++ b/src/test/regress/expected/rowsecurity.out
@@ -3691,6 +3691,42 @@ ERROR:  permission denied for table copy_rel_to
  SET row_security TO ON;
  COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --fail - permission denied
  ERROR:  permission denied for table copy_rel_to
+-- Check behavior with a child table.
+RESET SESSION AUTHORIZATION;
+SET row_security TO ON;
+CREATE TABLE copy_rel_to_child () INHERITS (copy_rel_to);
+INSERT INTO copy_rel_to_child VALUES (1, 'one'), (2, 'two');
+-- Check COPY TO as Superuser/owner.
+RESET SESSION AUTHORIZATION;
+SET row_security TO OFF;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ',';
+1,c4ca4238a0b923820dcc509a6f75849b
+SET row_security TO ON;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ',';
+1,c4ca4238a0b923820dcc509a6f75849b
+-- Check COPY TO as user with permissions.
+SET SESSION AUTHORIZATION regress_rls_bob;
+SET row_security TO OFF;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --fail - would be affected by RLS
+ERROR:  query would be affected by row-level security policy for table "copy_rel_to"
+SET row_security TO ON;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --ok
+-- Check COPY TO as user with permissions and BYPASSRLS
+SET SESSION AUTHORIZATION regress_rls_exempt_user;
+SET row_security TO OFF;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --ok
+1,c4ca4238a0b923820dcc509a6f75849b
+SET row_security TO ON;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --ok
+1,c4ca4238a0b923820dcc509a6f75849b
+-- Check COPY TO as user without permissions. SET row_security TO OFF;
+SET SESSION AUTHORIZATION regress_rls_carol;
+SET row_security TO OFF;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --fail - permission denied
+ERROR:  permission denied for table copy_rel_to
+SET row_security TO ON;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --fail - permission denied
+ERROR:  permission denied for table copy_rel_to
  -- Check COPY FROM as Superuser/owner.
  RESET SESSION AUTHORIZATION;
  SET row_security TO OFF;
@@ -3721,6 +3757,7 @@ ERROR:  permission denied for table copy_t
  RESET SESSION AUTHORIZATION;
  DROP TABLE copy_t;
  DROP TABLE copy_rel_to CASCADE;
+NOTICE:  drop cascades to table copy_rel_to_child
  -- Check WHERE CURRENT OF
  SET SESSION AUTHORIZATION regress_rls_alice;
  CREATE TABLE current_check (currentid int, payload text, rlsuser text);
diff --git a/src/test/regress/sql/rowsecurity.sql b/src/test/regress/sql/rowsecurity.sql

index b38fa8ed8f08665749827c10348786c99ffea379..507a088841a49c029bb1d98e15fe10e5c86fd43b 100644 (file)
--- a/src/test/regress/sql/rowsecurity.sql
+++ b/src/test/regress/sql/rowsecurity.sql
@@ -1543,6 +1543,40 @@ COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --fail - permission denied
  SET row_security TO ON;
  COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --fail - permission denied
  
+-- Check behavior with a child table.
+RESET SESSION AUTHORIZATION;
+SET row_security TO ON;
+CREATE TABLE copy_rel_to_child () INHERITS (copy_rel_to);
+INSERT INTO copy_rel_to_child VALUES (1, 'one'), (2, 'two');
+
+-- Check COPY TO as Superuser/owner.
+RESET SESSION AUTHORIZATION;
+SET row_security TO OFF;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ',';
+SET row_security TO ON;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ',';
+
+-- Check COPY TO as user with permissions.
+SET SESSION AUTHORIZATION regress_rls_bob;
+SET row_security TO OFF;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --fail - would be affected by RLS
+SET row_security TO ON;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --ok
+
+-- Check COPY TO as user with permissions and BYPASSRLS
+SET SESSION AUTHORIZATION regress_rls_exempt_user;
+SET row_security TO OFF;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --ok
+SET row_security TO ON;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --ok
+
+-- Check COPY TO as user without permissions. SET row_security TO OFF;
+SET SESSION AUTHORIZATION regress_rls_carol;
+SET row_security TO OFF;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --fail - permission denied
+SET row_security TO ON;
+COPY copy_rel_to TO STDOUT WITH DELIMITER ','; --fail - permission denied
+
  -- Check COPY FROM as Superuser/owner.
  RESET SESSION AUTHORIZATION;
  SET row_security TO OFF;
author	Tom Lane <tgl@sss.pgh.pa.us>
	Fri, 10 Mar 2023 18:52:28 +0000 (13:52 -0500)
committer	Tom Lane <tgl@sss.pgh.pa.us>
	Fri, 10 Mar 2023 18:52:44 +0000 (13:52 -0500)
src/backend/commands/copy.c		patch \| blob \| blame \| history
src/backend/commands/copyto.c		patch \| blob \| blame \| history
src/test/regress/expected/rowsecurity.out		patch \| blob \| blame \| history
src/test/regress/sql/rowsecurity.sql		patch \| blob \| blame \| history