LCOV - code coverage report
Current view: top level - src/backend/catalog - aclchk.c (source / functions) Coverage Total Hit
Test: PostgreSQL 20devel Lines: 82.8 % 1886 1561
Test Date: 2026-07-03 19:57:34 Functions: 94.9 % 59 56
Legend: Lines:     hit not hit
Branches: + taken - not taken # not executed
Branches: 65.4 % 1125 736

             Branch data     Line data    Source code
       1                 :             : /*-------------------------------------------------------------------------
       2                 :             :  *
       3                 :             :  * aclchk.c
       4                 :             :  *    Routines to check access control permissions.
       5                 :             :  *
       6                 :             :  * Portions Copyright (c) 1996-2026, PostgreSQL Global Development Group
       7                 :             :  * Portions Copyright (c) 1994, Regents of the University of California
       8                 :             :  *
       9                 :             :  *
      10                 :             :  * IDENTIFICATION
      11                 :             :  *    src/backend/catalog/aclchk.c
      12                 :             :  *
      13                 :             :  * NOTES
      14                 :             :  *    See acl.h.
      15                 :             :  *
      16                 :             :  *    The xxx_aclmask() functions in this file are wrappers around
      17                 :             :  *    acl.c's aclmask() function; see that for basic usage information.
      18                 :             :  *    The wrapper functions add object-type-specific lookup capability.
      19                 :             :  *    Generally, they will throw error if the object doesn't exist.
      20                 :             :  *
      21                 :             :  *    The xxx_aclmask_ext() functions add the ability to not throw
      22                 :             :  *    error if the object doesn't exist.  If their "is_missing" argument
      23                 :             :  *    isn't NULL, then when the object isn't found they will set
      24                 :             :  *    *is_missing = true and return zero (no privileges) instead of
      25                 :             :  *    throwing an error.  Caller must initialize *is_missing = false.
      26                 :             :  *
      27                 :             :  *    The xxx_aclcheck() functions are simplified wrappers around the
      28                 :             :  *    corresponding xxx_aclmask() functions, simply returning ACLCHECK_OK
      29                 :             :  *    if any of the privileges specified in "mode" are held, and otherwise
      30                 :             :  *    a suitable error code (in practice, always ACLCHECK_NO_PRIV).
      31                 :             :  *    Again, they will throw error if the object doesn't exist.
      32                 :             :  *
      33                 :             :  *    The xxx_aclcheck_ext() functions add the ability to not throw
      34                 :             :  *    error if the object doesn't exist.  Their "is_missing" argument
      35                 :             :  *    works similarly to the xxx_aclmask_ext() functions.
      36                 :             :  *
      37                 :             :  *-------------------------------------------------------------------------
      38                 :             :  */
      39                 :             : #include "postgres.h"
      40                 :             : 
      41                 :             : #include "access/genam.h"
      42                 :             : #include "access/heapam.h"
      43                 :             : #include "access/htup_details.h"
      44                 :             : #include "access/sysattr.h"
      45                 :             : #include "access/tableam.h"
      46                 :             : #include "access/xact.h"
      47                 :             : #include "catalog/binary_upgrade.h"
      48                 :             : #include "catalog/catalog.h"
      49                 :             : #include "catalog/dependency.h"
      50                 :             : #include "catalog/indexing.h"
      51                 :             : #include "catalog/objectaccess.h"
      52                 :             : #include "catalog/pg_authid.h"
      53                 :             : #include "catalog/pg_class.h"
      54                 :             : #include "catalog/pg_database.h"
      55                 :             : #include "catalog/pg_default_acl.h"
      56                 :             : #include "catalog/pg_foreign_data_wrapper.h"
      57                 :             : #include "catalog/pg_foreign_server.h"
      58                 :             : #include "catalog/pg_init_privs.h"
      59                 :             : #include "catalog/pg_language.h"
      60                 :             : #include "catalog/pg_largeobject.h"
      61                 :             : #include "catalog/pg_largeobject_metadata.h"
      62                 :             : #include "catalog/pg_namespace.h"
      63                 :             : #include "catalog/pg_parameter_acl.h"
      64                 :             : #include "catalog/pg_proc.h"
      65                 :             : #include "catalog/pg_tablespace.h"
      66                 :             : #include "catalog/pg_type.h"
      67                 :             : #include "commands/defrem.h"
      68                 :             : #include "commands/event_trigger.h"
      69                 :             : #include "commands/extension.h"
      70                 :             : #include "commands/proclang.h"
      71                 :             : #include "commands/tablespace.h"
      72                 :             : #include "foreign/foreign.h"
      73                 :             : #include "miscadmin.h"
      74                 :             : #include "nodes/makefuncs.h"
      75                 :             : #include "parser/parse_func.h"
      76                 :             : #include "parser/parse_type.h"
      77                 :             : #include "storage/lmgr.h"
      78                 :             : #include "utils/acl.h"
      79                 :             : #include "utils/aclchk_internal.h"
      80                 :             : #include "utils/builtins.h"
      81                 :             : #include "utils/fmgroids.h"
      82                 :             : #include "utils/guc.h"
      83                 :             : #include "utils/lsyscache.h"
      84                 :             : #include "utils/rel.h"
      85                 :             : #include "utils/syscache.h"
      86                 :             : 
      87                 :             : /*
      88                 :             :  * Internal format used by ALTER DEFAULT PRIVILEGES.
      89                 :             :  */
      90                 :             : typedef struct
      91                 :             : {
      92                 :             :     Oid         roleid;         /* owning role */
      93                 :             :     Oid         nspid;          /* namespace, or InvalidOid if none */
      94                 :             :     /* remaining fields are same as in InternalGrant: */
      95                 :             :     bool        is_grant;
      96                 :             :     ObjectType  objtype;
      97                 :             :     bool        all_privs;
      98                 :             :     AclMode     privileges;
      99                 :             :     List       *grantees;
     100                 :             :     bool        grant_option;
     101                 :             :     RoleSpec   *grantor;
     102                 :             :     DropBehavior behavior;
     103                 :             : } InternalDefaultACL;
     104                 :             : 
     105                 :             : /*
     106                 :             :  * When performing a binary-upgrade, pg_dump will call a function to set
     107                 :             :  * this variable to let us know that we need to populate the pg_init_privs
     108                 :             :  * table for the GRANT/REVOKE commands while this variable is set to true.
     109                 :             :  */
     110                 :             : bool        binary_upgrade_record_init_privs = false;
     111                 :             : 
     112                 :             : static void ExecGrantStmt_oids(InternalGrant *istmt);
     113                 :             : static void ExecGrant_Relation(InternalGrant *istmt);
     114                 :             : static void ExecGrant_common(InternalGrant *istmt, Oid classid, AclMode default_privs,
     115                 :             :                              void (*object_check) (InternalGrant *istmt, HeapTuple tuple));
     116                 :             : static void ExecGrant_Language_check(InternalGrant *istmt, HeapTuple tuple);
     117                 :             : static void ExecGrant_Largeobject(InternalGrant *istmt);
     118                 :             : static void ExecGrant_Type_check(InternalGrant *istmt, HeapTuple tuple);
     119                 :             : static void ExecGrant_Parameter(InternalGrant *istmt);
     120                 :             : 
     121                 :             : static void SetDefaultACLsInSchemas(InternalDefaultACL *iacls, List *nspnames);
     122                 :             : static void SetDefaultACL(InternalDefaultACL *iacls);
     123                 :             : 
     124                 :             : static List *objectNamesToOids(ObjectType objtype, List *objnames,
     125                 :             :                                bool is_grant);
     126                 :             : static List *objectsInSchemaToOids(ObjectType objtype, List *nspnames);
     127                 :             : static List *getRelationsInNamespace(Oid namespaceId, char relkind);
     128                 :             : static void expand_col_privileges(List *colnames, Oid table_oid,
     129                 :             :                                   AclMode this_privileges,
     130                 :             :                                   AclMode *col_privileges,
     131                 :             :                                   int num_col_privileges);
     132                 :             : static void expand_all_col_privileges(Oid table_oid, Form_pg_class classForm,
     133                 :             :                                       AclMode this_privileges,
     134                 :             :                                       AclMode *col_privileges,
     135                 :             :                                       int num_col_privileges);
     136                 :             : static AclMode string_to_privilege(const char *privname);
     137                 :             : static const char *privilege_to_string(AclMode privilege);
     138                 :             : static AclMode restrict_and_check_grant(bool is_grant, AclMode avail_goptions,
     139                 :             :                                         bool all_privs, AclMode privileges,
     140                 :             :                                         Oid objectId, Oid grantorId,
     141                 :             :                                         ObjectType objtype, const char *objname,
     142                 :             :                                         AttrNumber att_number, const char *colname);
     143                 :             : static AclMode pg_aclmask(ObjectType objtype, Oid object_oid, AttrNumber attnum,
     144                 :             :                           Oid roleid, AclMode mask, AclMaskHow how);
     145                 :             : static AclMode object_aclmask(Oid classid, Oid objectid, Oid roleid,
     146                 :             :                               AclMode mask, AclMaskHow how);
     147                 :             : static AclMode object_aclmask_ext(Oid classid, Oid objectid, Oid roleid,
     148                 :             :                                   AclMode mask, AclMaskHow how,
     149                 :             :                                   bool *is_missing);
     150                 :             : static AclMode pg_attribute_aclmask(Oid table_oid, AttrNumber attnum,
     151                 :             :                                     Oid roleid, AclMode mask, AclMaskHow how);
     152                 :             : static AclMode pg_attribute_aclmask_ext(Oid table_oid, AttrNumber attnum,
     153                 :             :                                         Oid roleid, AclMode mask,
     154                 :             :                                         AclMaskHow how, bool *is_missing);
     155                 :             : static AclMode pg_class_aclmask_ext(Oid table_oid, Oid roleid,
     156                 :             :                                     AclMode mask, AclMaskHow how,
     157                 :             :                                     bool *is_missing);
     158                 :             : static AclMode pg_parameter_acl_aclmask(Oid acl_oid, Oid roleid,
     159                 :             :                                         AclMode mask, AclMaskHow how);
     160                 :             : static AclMode pg_largeobject_aclmask_snapshot(Oid lobj_oid, Oid roleid,
     161                 :             :                                                AclMode mask, AclMaskHow how, Snapshot snapshot);
     162                 :             : static AclMode pg_namespace_aclmask_ext(Oid nsp_oid, Oid roleid,
     163                 :             :                                         AclMode mask, AclMaskHow how,
     164                 :             :                                         bool *is_missing);
     165                 :             : static AclMode pg_type_aclmask_ext(Oid type_oid, Oid roleid,
     166                 :             :                                    AclMode mask, AclMaskHow how,
     167                 :             :                                    bool *is_missing);
     168                 :             : static void recordExtensionInitPriv(Oid objoid, Oid classoid, int objsubid,
     169                 :             :                                     Acl *new_acl);
     170                 :             : static void recordExtensionInitPrivWorker(Oid objoid, Oid classoid, int objsubid,
     171                 :             :                                           Acl *new_acl);
     172                 :             : 
     173                 :             : 
     174                 :             : /*
     175                 :             :  * If is_grant is true, adds the given privileges for the list of
     176                 :             :  * grantees to the existing old_acl.  If is_grant is false, the
     177                 :             :  * privileges for the given grantees are removed from old_acl.
     178                 :             :  *
     179                 :             :  * NB: the original old_acl is pfree'd.
     180                 :             :  */
     181                 :             : static Acl *
     182                 :       40963 : merge_acl_with_grant(Acl *old_acl, bool is_grant,
     183                 :             :                      bool grant_option, DropBehavior behavior,
     184                 :             :                      List *grantees, AclMode privileges,
     185                 :             :                      Oid grantorId, Oid ownerId)
     186                 :             : {
     187                 :             :     unsigned    modechg;
     188                 :             :     ListCell   *j;
     189                 :             :     Acl        *new_acl;
     190                 :             : 
     191         [ +  + ]:       40963 :     modechg = is_grant ? ACL_MODECHG_ADD : ACL_MODECHG_DEL;
     192                 :             : 
     193                 :       40963 :     new_acl = old_acl;
     194                 :             : 
     195   [ +  -  +  +  :       82004 :     foreach(j, grantees)
                   +  + ]
     196                 :             :     {
     197                 :             :         AclItem     aclitem;
     198                 :             :         Acl        *newer_acl;
     199                 :             : 
     200                 :       41049 :         aclitem.ai_grantee = lfirst_oid(j);
     201                 :             : 
     202                 :             :         /*
     203                 :             :          * Grant options can only be granted to individual roles, not PUBLIC.
     204                 :             :          * The reason is that if a user would re-grant a privilege that he
     205                 :             :          * held through PUBLIC, and later the user is removed, the situation
     206                 :             :          * is impossible to clean up.
     207                 :             :          */
     208   [ +  +  +  +  :       41049 :         if (is_grant && grant_option && aclitem.ai_grantee == ACL_ID_PUBLIC)
                   -  + ]
     209         [ #  # ]:           0 :             ereport(ERROR,
     210                 :             :                     (errcode(ERRCODE_INVALID_GRANT_OPERATION),
     211                 :             :                      errmsg("grant options can only be granted to roles")));
     212                 :             : 
     213                 :       41049 :         aclitem.ai_grantor = grantorId;
     214                 :             : 
     215                 :             :         /*
     216                 :             :          * The asymmetry in the conditions here comes from the spec.  In
     217                 :             :          * GRANT, the grant_option flag signals WITH GRANT OPTION, which means
     218                 :             :          * to grant both the basic privilege and its grant option. But in
     219                 :             :          * REVOKE, plain revoke revokes both the basic privilege and its grant
     220                 :             :          * option, while REVOKE GRANT OPTION revokes only the option.
     221                 :             :          */
     222   [ +  +  +  +  :       41049 :         ACLITEM_SET_PRIVS_GOPTIONS(aclitem,
             +  +  +  + ]
     223                 :             :                                    (is_grant || !grant_option) ? privileges : ACL_NO_RIGHTS,
     224                 :             :                                    (!is_grant || grant_option) ? privileges : ACL_NO_RIGHTS);
     225                 :             : 
     226                 :       41049 :         newer_acl = aclupdate(new_acl, &aclitem, modechg, ownerId, behavior);
     227                 :             : 
     228                 :             :         /* avoid memory leak when there are many grantees */
     229                 :       41041 :         pfree(new_acl);
     230                 :       41041 :         new_acl = newer_acl;
     231                 :             :     }
     232                 :             : 
     233                 :       40955 :     return new_acl;
     234                 :             : }
     235                 :             : 
     236                 :             : /*
     237                 :             :  * Restrict the privileges to what we can actually grant, and emit
     238                 :             :  * the standards-mandated warning and error messages.
     239                 :             :  */
     240                 :             : static AclMode
     241                 :       40818 : restrict_and_check_grant(bool is_grant, AclMode avail_goptions, bool all_privs,
     242                 :             :                          AclMode privileges, Oid objectId, Oid grantorId,
     243                 :             :                          ObjectType objtype, const char *objname,
     244                 :             :                          AttrNumber att_number, const char *colname)
     245                 :             : {
     246                 :             :     AclMode     this_privileges;
     247                 :             :     AclMode     whole_mask;
     248                 :             : 
     249   [ +  +  +  +  :       40818 :     switch (objtype)
          +  +  +  +  +  
          +  +  -  +  +  
                   -  - ]
     250                 :             :     {
     251                 :       28237 :         case OBJECT_COLUMN:
     252                 :       28237 :             whole_mask = ACL_ALL_RIGHTS_COLUMN;
     253                 :       28237 :             break;
     254                 :       10845 :         case OBJECT_TABLE:
     255                 :       10845 :             whole_mask = ACL_ALL_RIGHTS_RELATION;
     256                 :       10845 :             break;
     257                 :         115 :         case OBJECT_SEQUENCE:
     258                 :         115 :             whole_mask = ACL_ALL_RIGHTS_SEQUENCE;
     259                 :         115 :             break;
     260                 :         219 :         case OBJECT_DATABASE:
     261                 :         219 :             whole_mask = ACL_ALL_RIGHTS_DATABASE;
     262                 :         219 :             break;
     263                 :         576 :         case OBJECT_FUNCTION:
     264                 :         576 :             whole_mask = ACL_ALL_RIGHTS_FUNCTION;
     265                 :         576 :             break;
     266                 :          23 :         case OBJECT_LANGUAGE:
     267                 :          23 :             whole_mask = ACL_ALL_RIGHTS_LANGUAGE;
     268                 :          23 :             break;
     269                 :          62 :         case OBJECT_LARGEOBJECT:
     270                 :          62 :             whole_mask = ACL_ALL_RIGHTS_LARGEOBJECT;
     271                 :          62 :             break;
     272                 :         448 :         case OBJECT_SCHEMA:
     273                 :         448 :             whole_mask = ACL_ALL_RIGHTS_SCHEMA;
     274                 :         448 :             break;
     275                 :           3 :         case OBJECT_TABLESPACE:
     276                 :           3 :             whole_mask = ACL_ALL_RIGHTS_TABLESPACE;
     277                 :           3 :             break;
     278                 :          61 :         case OBJECT_FDW:
     279                 :          61 :             whole_mask = ACL_ALL_RIGHTS_FDW;
     280                 :          61 :             break;
     281                 :          78 :         case OBJECT_FOREIGN_SERVER:
     282                 :          78 :             whole_mask = ACL_ALL_RIGHTS_FOREIGN_SERVER;
     283                 :          78 :             break;
     284                 :           0 :         case OBJECT_EVENT_TRIGGER:
     285         [ #  # ]:           0 :             elog(ERROR, "grantable rights not supported for event triggers");
     286                 :             :             /* not reached, but keep compiler quiet */
     287                 :             :             return ACL_NO_RIGHTS;
     288                 :          84 :         case OBJECT_TYPE:
     289                 :          84 :             whole_mask = ACL_ALL_RIGHTS_TYPE;
     290                 :          84 :             break;
     291                 :          67 :         case OBJECT_PARAMETER_ACL:
     292                 :          67 :             whole_mask = ACL_ALL_RIGHTS_PARAMETER_ACL;
     293                 :          67 :             break;
     294                 :           0 :         case OBJECT_PROPGRAPH:
     295                 :           0 :             whole_mask = ACL_ALL_RIGHTS_PROPGRAPH;
     296                 :           0 :             break;
     297                 :           0 :         default:
     298         [ #  # ]:           0 :             elog(ERROR, "unrecognized object type: %d", objtype);
     299                 :             :             /* not reached, but keep compiler quiet */
     300                 :             :             return ACL_NO_RIGHTS;
     301                 :             :     }
     302                 :             : 
     303                 :             :     /*
     304                 :             :      * If we found no grant options, consider whether to issue a hard error.
     305                 :             :      * Per spec, having any privilege at all on the object will get you by
     306                 :             :      * here.
     307                 :             :      */
     308         [ +  + ]:       40818 :     if (avail_goptions == ACL_NO_RIGHTS)
     309                 :             :     {
     310         [ +  + ]:          48 :         if (pg_aclmask(objtype, objectId, att_number, grantorId,
     311                 :          48 :                        whole_mask | ACL_GRANT_OPTION_FOR(whole_mask),
     312                 :             :                        ACLMASK_ANY) == ACL_NO_RIGHTS)
     313                 :             :         {
     314   [ -  +  -  - ]:          24 :             if (objtype == OBJECT_COLUMN && colname)
     315                 :           0 :                 aclcheck_error_col(ACLCHECK_NO_PRIV, objtype, objname, colname);
     316                 :             :             else
     317                 :          24 :                 aclcheck_error(ACLCHECK_NO_PRIV, objtype, objname);
     318                 :             :         }
     319                 :             :     }
     320                 :             : 
     321                 :             :     /*
     322                 :             :      * Restrict the operation to what we can actually grant or revoke, and
     323                 :             :      * issue a warning if appropriate.  (For REVOKE this isn't quite what the
     324                 :             :      * spec says to do: the spec seems to want a warning only if no privilege
     325                 :             :      * bits actually change in the ACL. In practice that behavior seems much
     326                 :             :      * too noisy, as well as inconsistent with the GRANT case.)
     327                 :             :      */
     328                 :       40794 :     this_privileges = privileges & ACL_OPTION_TO_PRIVS(avail_goptions);
     329         [ +  + ]:       40794 :     if (is_grant)
     330                 :             :     {
     331         [ +  + ]:       10067 :         if (this_privileges == 0)
     332                 :             :         {
     333   [ -  +  -  - ]:          20 :             if (objtype == OBJECT_COLUMN && colname)
     334         [ #  # ]:           0 :                 ereport(WARNING,
     335                 :             :                         (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_GRANTED),
     336                 :             :                          errmsg("no privileges were granted for column \"%s\" of relation \"%s\"",
     337                 :             :                                 colname, objname)));
     338                 :             :             else
     339         [ +  - ]:          20 :                 ereport(WARNING,
     340                 :             :                         (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_GRANTED),
     341                 :             :                          errmsg("no privileges were granted for \"%s\"",
     342                 :             :                                 objname)));
     343                 :             :         }
     344   [ +  +  +  + ]:       10047 :         else if (!all_privs && this_privileges != privileges)
     345                 :             :         {
     346   [ -  +  -  - ]:          12 :             if (objtype == OBJECT_COLUMN && colname)
     347         [ #  # ]:           0 :                 ereport(WARNING,
     348                 :             :                         (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_GRANTED),
     349                 :             :                          errmsg("not all privileges were granted for column \"%s\" of relation \"%s\"",
     350                 :             :                                 colname, objname)));
     351                 :             :             else
     352         [ +  - ]:          12 :                 ereport(WARNING,
     353                 :             :                         (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_GRANTED),
     354                 :             :                          errmsg("not all privileges were granted for \"%s\"",
     355                 :             :                                 objname)));
     356                 :             :         }
     357                 :             :     }
     358                 :             :     else
     359                 :             :     {
     360         [ +  + ]:       30727 :         if (this_privileges == 0)
     361                 :             :         {
     362   [ -  +  -  - ]:           4 :             if (objtype == OBJECT_COLUMN && colname)
     363         [ #  # ]:           0 :                 ereport(WARNING,
     364                 :             :                         (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_REVOKED),
     365                 :             :                          errmsg("no privileges could be revoked for column \"%s\" of relation \"%s\"",
     366                 :             :                                 colname, objname)));
     367                 :             :             else
     368         [ +  - ]:           4 :                 ereport(WARNING,
     369                 :             :                         (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_REVOKED),
     370                 :             :                          errmsg("no privileges could be revoked for \"%s\"",
     371                 :             :                                 objname)));
     372                 :             :         }
     373   [ +  +  +  + ]:       30723 :         else if (!all_privs && this_privileges != privileges)
     374                 :             :         {
     375   [ +  +  +  - ]:          56 :             if (objtype == OBJECT_COLUMN && colname)
     376         [ +  - ]:          48 :                 ereport(WARNING,
     377                 :             :                         (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_REVOKED),
     378                 :             :                          errmsg("not all privileges could be revoked for column \"%s\" of relation \"%s\"",
     379                 :             :                                 colname, objname)));
     380                 :             :             else
     381         [ +  - ]:           8 :                 ereport(WARNING,
     382                 :             :                         (errcode(ERRCODE_WARNING_PRIVILEGE_NOT_REVOKED),
     383                 :             :                          errmsg("not all privileges could be revoked for \"%s\"",
     384                 :             :                                 objname)));
     385                 :             :         }
     386                 :             :     }
     387                 :             : 
     388                 :       40794 :     return this_privileges;
     389                 :             : }
     390                 :             : 
     391                 :             : /*
     392                 :             :  * Called to execute the utility commands GRANT and REVOKE
     393                 :             :  */
     394                 :             : void
     395                 :       12645 : ExecuteGrantStmt(GrantStmt *stmt)
     396                 :             : {
     397                 :             :     InternalGrant istmt;
     398                 :             :     ListCell   *cell;
     399                 :             :     const char *errormsg;
     400                 :             :     AclMode     all_privileges;
     401                 :             : 
     402                 :             :     /*
     403                 :             :      * Turn the regular GrantStmt into the InternalGrant form.
     404                 :             :      */
     405                 :       12645 :     istmt.is_grant = stmt->is_grant;
     406                 :       12645 :     istmt.objtype = stmt->objtype;
     407                 :             : 
     408                 :             :     /* Collect the OIDs of the target objects */
     409      [ +  +  - ]:       12645 :     switch (stmt->targtype)
     410                 :             :     {
     411                 :       12624 :         case ACL_TARGET_OBJECT:
     412                 :       25227 :             istmt.objects = objectNamesToOids(stmt->objtype, stmt->objects,
     413                 :       12624 :                                               stmt->is_grant);
     414                 :       12603 :             break;
     415                 :          21 :         case ACL_TARGET_ALL_IN_SCHEMA:
     416                 :          21 :             istmt.objects = objectsInSchemaToOids(stmt->objtype, stmt->objects);
     417                 :          21 :             break;
     418                 :             :             /* ACL_TARGET_DEFAULTS should not be seen here */
     419                 :           0 :         default:
     420         [ #  # ]:           0 :             elog(ERROR, "unrecognized GrantStmt.targtype: %d",
     421                 :             :                  (int) stmt->targtype);
     422                 :             :     }
     423                 :             : 
     424                 :             :     /* all_privs to be filled below */
     425                 :             :     /* privileges to be filled below */
     426                 :       12624 :     istmt.col_privs = NIL;      /* may get filled below */
     427                 :       12624 :     istmt.grantees = NIL;       /* filled below */
     428                 :       12624 :     istmt.grant_option = stmt->grant_option;
     429                 :       12624 :     istmt.grantor = stmt->grantor;
     430                 :       12624 :     istmt.behavior = stmt->behavior;
     431                 :             : 
     432                 :             :     /*
     433                 :             :      * Convert the RoleSpec list into an Oid list.  Note that at this point we
     434                 :             :      * insert an ACL_ID_PUBLIC into the list if appropriate, so downstream
     435                 :             :      * there shouldn't be any additional work needed to support this case.
     436                 :             :      */
     437   [ +  -  +  +  :       25310 :     foreach(cell, stmt->grantees)
                   +  + ]
     438                 :             :     {
     439                 :       12690 :         RoleSpec   *grantee = (RoleSpec *) lfirst(cell);
     440                 :             :         Oid         grantee_uid;
     441                 :             : 
     442         [ +  + ]:       12690 :         switch (grantee->roletype)
     443                 :             :         {
     444                 :       10483 :             case ROLESPEC_PUBLIC:
     445                 :       10483 :                 grantee_uid = ACL_ID_PUBLIC;
     446                 :       10483 :                 break;
     447                 :        2207 :             default:
     448                 :        2207 :                 grantee_uid = get_rolespec_oid(grantee, false);
     449                 :        2203 :                 break;
     450                 :             :         }
     451                 :       12686 :         istmt.grantees = lappend_oid(istmt.grantees, grantee_uid);
     452                 :             :     }
     453                 :             : 
     454                 :             :     /*
     455                 :             :      * Convert stmt->privileges, a list of AccessPriv nodes, into an AclMode
     456                 :             :      * bitmask.  Note: objtype can't be OBJECT_COLUMN.
     457                 :             :      */
     458   [ +  +  +  +  :       12620 :     switch (stmt->objtype)
          +  +  +  +  +  
          +  +  +  +  +  
                +  +  - ]
     459                 :             :     {
     460                 :       11142 :         case OBJECT_TABLE:
     461                 :             : 
     462                 :             :             /*
     463                 :             :              * Because this might be a sequence, we test both relation and
     464                 :             :              * sequence bits, and later do a more limited test when we know
     465                 :             :              * the object type.
     466                 :             :              */
     467                 :       11142 :             all_privileges = ACL_ALL_RIGHTS_RELATION | ACL_ALL_RIGHTS_SEQUENCE;
     468                 :       11142 :             errormsg = gettext_noop("invalid privilege type %s for relation");
     469                 :       11142 :             break;
     470                 :          13 :         case OBJECT_SEQUENCE:
     471                 :          13 :             all_privileges = ACL_ALL_RIGHTS_SEQUENCE;
     472                 :          13 :             errormsg = gettext_noop("invalid privilege type %s for sequence");
     473                 :          13 :             break;
     474                 :         213 :         case OBJECT_DATABASE:
     475                 :         213 :             all_privileges = ACL_ALL_RIGHTS_DATABASE;
     476                 :         213 :             errormsg = gettext_noop("invalid privilege type %s for database");
     477                 :         213 :             break;
     478                 :          13 :         case OBJECT_DOMAIN:
     479                 :          13 :             all_privileges = ACL_ALL_RIGHTS_TYPE;
     480                 :          13 :             errormsg = gettext_noop("invalid privilege type %s for domain");
     481                 :          13 :             break;
     482                 :         502 :         case OBJECT_FUNCTION:
     483                 :         502 :             all_privileges = ACL_ALL_RIGHTS_FUNCTION;
     484                 :         502 :             errormsg = gettext_noop("invalid privilege type %s for function");
     485                 :         502 :             break;
     486                 :          27 :         case OBJECT_LANGUAGE:
     487                 :          27 :             all_privileges = ACL_ALL_RIGHTS_LANGUAGE;
     488                 :          27 :             errormsg = gettext_noop("invalid privilege type %s for language");
     489                 :          27 :             break;
     490                 :          50 :         case OBJECT_LARGEOBJECT:
     491                 :          50 :             all_privileges = ACL_ALL_RIGHTS_LARGEOBJECT;
     492                 :          50 :             errormsg = gettext_noop("invalid privilege type %s for large object");
     493                 :          50 :             break;
     494                 :         368 :         case OBJECT_SCHEMA:
     495                 :         368 :             all_privileges = ACL_ALL_RIGHTS_SCHEMA;
     496                 :         368 :             errormsg = gettext_noop("invalid privilege type %s for schema");
     497                 :         368 :             break;
     498                 :          32 :         case OBJECT_PROCEDURE:
     499                 :          32 :             all_privileges = ACL_ALL_RIGHTS_FUNCTION;
     500                 :          32 :             errormsg = gettext_noop("invalid privilege type %s for procedure");
     501                 :          32 :             break;
     502                 :           4 :         case OBJECT_ROUTINE:
     503                 :           4 :             all_privileges = ACL_ALL_RIGHTS_FUNCTION;
     504                 :           4 :             errormsg = gettext_noop("invalid privilege type %s for routine");
     505                 :           4 :             break;
     506                 :           3 :         case OBJECT_TABLESPACE:
     507                 :           3 :             all_privileges = ACL_ALL_RIGHTS_TABLESPACE;
     508                 :           3 :             errormsg = gettext_noop("invalid privilege type %s for tablespace");
     509                 :           3 :             break;
     510                 :          76 :         case OBJECT_TYPE:
     511                 :          76 :             all_privileges = ACL_ALL_RIGHTS_TYPE;
     512                 :          76 :             errormsg = gettext_noop("invalid privilege type %s for type");
     513                 :          76 :             break;
     514                 :          60 :         case OBJECT_FDW:
     515                 :          60 :             all_privileges = ACL_ALL_RIGHTS_FDW;
     516                 :          60 :             errormsg = gettext_noop("invalid privilege type %s for foreign-data wrapper");
     517                 :          60 :             break;
     518                 :          69 :         case OBJECT_FOREIGN_SERVER:
     519                 :          69 :             all_privileges = ACL_ALL_RIGHTS_FOREIGN_SERVER;
     520                 :          69 :             errormsg = gettext_noop("invalid privilege type %s for foreign server");
     521                 :          69 :             break;
     522                 :          36 :         case OBJECT_PARAMETER_ACL:
     523                 :          36 :             all_privileges = ACL_ALL_RIGHTS_PARAMETER_ACL;
     524                 :          36 :             errormsg = gettext_noop("invalid privilege type %s for parameter");
     525                 :          36 :             break;
     526                 :          12 :         case OBJECT_PROPGRAPH:
     527                 :          12 :             all_privileges = ACL_ALL_RIGHTS_PROPGRAPH;
     528                 :          12 :             errormsg = gettext_noop("invalid privilege type %s for property graph");
     529                 :          12 :             break;
     530                 :           0 :         default:
     531         [ #  # ]:           0 :             elog(ERROR, "unrecognized GrantStmt.objtype: %d",
     532                 :             :                  (int) stmt->objtype);
     533                 :             :             /* keep compiler quiet */
     534                 :             :             all_privileges = ACL_NO_RIGHTS;
     535                 :             :             errormsg = NULL;
     536                 :             :     }
     537                 :             : 
     538         [ +  + ]:       12620 :     if (stmt->privileges == NIL)
     539                 :             :     {
     540                 :        1637 :         istmt.all_privs = true;
     541                 :             : 
     542                 :             :         /*
     543                 :             :          * will be turned into ACL_ALL_RIGHTS_* by the internal routines
     544                 :             :          * depending on the object type
     545                 :             :          */
     546                 :        1637 :         istmt.privileges = ACL_NO_RIGHTS;
     547                 :             :     }
     548                 :             :     else
     549                 :             :     {
     550                 :       10983 :         istmt.all_privs = false;
     551                 :       10983 :         istmt.privileges = ACL_NO_RIGHTS;
     552                 :             : 
     553   [ +  -  +  +  :       22319 :         foreach(cell, stmt->privileges)
                   +  + ]
     554                 :             :         {
     555                 :       11356 :             AccessPriv *privnode = (AccessPriv *) lfirst(cell);
     556                 :             :             AclMode     priv;
     557                 :             : 
     558                 :             :             /*
     559                 :             :              * If it's a column-level specification, we just set it aside in
     560                 :             :              * col_privs for the moment; but insist it's for a relation.
     561                 :             :              */
     562         [ +  + ]:       11356 :             if (privnode->cols)
     563                 :             :             {
     564         [ -  + ]:         319 :                 if (stmt->objtype != OBJECT_TABLE)
     565         [ #  # ]:           0 :                     ereport(ERROR,
     566                 :             :                             (errcode(ERRCODE_INVALID_GRANT_OPERATION),
     567                 :             :                              errmsg("column privileges are only valid for relations")));
     568                 :         319 :                 istmt.col_privs = lappend(istmt.col_privs, privnode);
     569                 :         319 :                 continue;
     570                 :             :             }
     571                 :             : 
     572         [ -  + ]:       11037 :             if (privnode->priv_name == NULL) /* parser mistake? */
     573         [ #  # ]:           0 :                 elog(ERROR, "AccessPriv node must specify privilege or columns");
     574                 :       11037 :             priv = string_to_privilege(privnode->priv_name);
     575                 :             : 
     576         [ +  + ]:       11037 :             if (priv & ~all_privileges)
     577         [ +  - ]:          20 :                 ereport(ERROR,
     578                 :             :                         (errcode(ERRCODE_INVALID_GRANT_OPERATION),
     579                 :             :                          errmsg(errormsg, privilege_to_string(priv))));
     580                 :             : 
     581                 :       11017 :             istmt.privileges |= priv;
     582                 :             :         }
     583                 :             :     }
     584                 :             : 
     585                 :       12600 :     ExecGrantStmt_oids(&istmt);
     586                 :       12549 : }
     587                 :             : 
     588                 :             : /*
     589                 :             :  * ExecGrantStmt_oids
     590                 :             :  *
     591                 :             :  * Internal entry point for granting and revoking privileges.
     592                 :             :  */
     593                 :             : static void
     594                 :       12736 : ExecGrantStmt_oids(InternalGrant *istmt)
     595                 :             : {
     596   [ +  +  +  +  :       12736 :     switch (istmt->objtype)
          +  +  +  +  +  
                +  +  - ]
     597                 :             :     {
     598                 :       11225 :         case OBJECT_TABLE:
     599                 :             :         case OBJECT_SEQUENCE:
     600                 :             :         case OBJECT_PROPGRAPH:
     601                 :       11225 :             ExecGrant_Relation(istmt);
     602                 :       11210 :             break;
     603                 :         219 :         case OBJECT_DATABASE:
     604                 :         219 :             ExecGrant_common(istmt, DatabaseRelationId, ACL_ALL_RIGHTS_DATABASE, NULL);
     605                 :         219 :             break;
     606                 :          92 :         case OBJECT_DOMAIN:
     607                 :             :         case OBJECT_TYPE:
     608                 :          92 :             ExecGrant_common(istmt, TypeRelationId, ACL_ALL_RIGHTS_TYPE, ExecGrant_Type_check);
     609                 :          80 :             break;
     610                 :          61 :         case OBJECT_FDW:
     611                 :          61 :             ExecGrant_common(istmt, ForeignDataWrapperRelationId, ACL_ALL_RIGHTS_FDW, NULL);
     612                 :          49 :             break;
     613                 :          78 :         case OBJECT_FOREIGN_SERVER:
     614                 :          78 :             ExecGrant_common(istmt, ForeignServerRelationId, ACL_ALL_RIGHTS_FOREIGN_SERVER, NULL);
     615                 :          70 :             break;
     616                 :         548 :         case OBJECT_FUNCTION:
     617                 :             :         case OBJECT_PROCEDURE:
     618                 :             :         case OBJECT_ROUTINE:
     619                 :         548 :             ExecGrant_common(istmt, ProcedureRelationId, ACL_ALL_RIGHTS_FUNCTION, NULL);
     620                 :         548 :             break;
     621                 :          27 :         case OBJECT_LANGUAGE:
     622                 :          27 :             ExecGrant_common(istmt, LanguageRelationId, ACL_ALL_RIGHTS_LANGUAGE, ExecGrant_Language_check);
     623                 :          23 :             break;
     624                 :          58 :         case OBJECT_LARGEOBJECT:
     625                 :          58 :             ExecGrant_Largeobject(istmt);
     626                 :          58 :             break;
     627                 :         377 :         case OBJECT_SCHEMA:
     628                 :         377 :             ExecGrant_common(istmt, NamespaceRelationId, ACL_ALL_RIGHTS_SCHEMA, NULL);
     629                 :         377 :             break;
     630                 :           3 :         case OBJECT_TABLESPACE:
     631                 :           3 :             ExecGrant_common(istmt, TableSpaceRelationId, ACL_ALL_RIGHTS_TABLESPACE, NULL);
     632                 :           3 :             break;
     633                 :          48 :         case OBJECT_PARAMETER_ACL:
     634                 :          48 :             ExecGrant_Parameter(istmt);
     635                 :          48 :             break;
     636                 :           0 :         default:
     637         [ #  # ]:           0 :             elog(ERROR, "unrecognized GrantStmt.objtype: %d",
     638                 :             :                  (int) istmt->objtype);
     639                 :             :     }
     640                 :             : 
     641                 :             :     /*
     642                 :             :      * Pass the info to event triggers about the just-executed GRANT.  Note
     643                 :             :      * that we prefer to do it after actually executing it, because that gives
     644                 :             :      * the functions a chance to adjust the istmt with privileges actually
     645                 :             :      * granted.
     646                 :             :      */
     647         [ +  + ]:       12685 :     if (EventTriggerSupportsObjectType(istmt->objtype))
     648                 :       12415 :         EventTriggerCollectGrant(istmt);
     649                 :       12685 : }
     650                 :             : 
     651                 :             : /*
     652                 :             :  * objectNamesToOids
     653                 :             :  *
     654                 :             :  * Turn a list of object names of a given type into an Oid list.
     655                 :             :  *
     656                 :             :  * XXX This function intentionally takes only an AccessShareLock.  In the face
     657                 :             :  * of concurrent DDL, we might easily latch onto an old version of an object,
     658                 :             :  * causing the GRANT or REVOKE statement to fail.  But it does prevent the
     659                 :             :  * object from disappearing altogether.  To do better, we would need to use a
     660                 :             :  * self-exclusive lock, perhaps ShareUpdateExclusiveLock, here and before
     661                 :             :  * *every* CatalogTupleUpdate() of a row that GRANT/REVOKE can affect.
     662                 :             :  * Besides that additional work, this could have operational costs.  For
     663                 :             :  * example, it would make GRANT ALL TABLES IN SCHEMA terminate every
     664                 :             :  * autovacuum running in the schema and consume a shared lock table entry per
     665                 :             :  * table in the schema.  The user-visible benefit of that additional work is
     666                 :             :  * just changing "ERROR: tuple concurrently updated" to blocking.  That's not
     667                 :             :  * nothing, but it might not outweigh autovacuum termination and lock table
     668                 :             :  * consumption spikes.
     669                 :             :  */
     670                 :             : static List *
     671                 :       12624 : objectNamesToOids(ObjectType objtype, List *objnames, bool is_grant)
     672                 :             : {
     673                 :       12624 :     List       *objects = NIL;
     674                 :             :     ListCell   *cell;
     675                 :       12624 :     const LOCKMODE lockmode = AccessShareLock;
     676                 :             : 
     677                 :             :     Assert(objnames != NIL);
     678                 :             : 
     679   [ +  +  +  + ]:       12624 :     switch (objtype)
     680                 :             :     {
     681                 :        1336 :         default:
     682                 :             : 
     683                 :             :             /*
     684                 :             :              * For most object types, we use get_object_address() directly.
     685                 :             :              */
     686   [ +  -  +  +  :        2747 :             foreach(cell, objnames)
                   +  + ]
     687                 :             :             {
     688                 :             :                 ObjectAddress address;
     689                 :             : 
     690                 :        1427 :                 address = get_object_address(objtype, lfirst(cell), NULL, lockmode, false);
     691                 :        1411 :                 objects = lappend_oid(objects, address.objectId);
     692                 :             :             }
     693                 :        1320 :             break;
     694                 :             : 
     695                 :       11158 :         case OBJECT_TABLE:
     696                 :             :         case OBJECT_SEQUENCE:
     697                 :             :         case OBJECT_PROPGRAPH:
     698                 :             : 
     699                 :             :             /*
     700                 :             :              * Here, we don't use get_object_address().  It requires that the
     701                 :             :              * specified object type match the actual type of the object, but
     702                 :             :              * in GRANT/REVOKE, all table-like things are addressed as TABLE.
     703                 :             :              */
     704   [ +  -  +  +  :       22351 :             foreach(cell, objnames)
                   +  + ]
     705                 :             :             {
     706                 :       11193 :                 RangeVar   *relvar = (RangeVar *) lfirst(cell);
     707                 :             :                 Oid         relOid;
     708                 :             : 
     709                 :       11193 :                 relOid = RangeVarGetRelid(relvar, lockmode, false);
     710                 :       11193 :                 objects = lappend_oid(objects, relOid);
     711                 :             :             }
     712                 :       11158 :             break;
     713                 :             : 
     714                 :          93 :         case OBJECT_DOMAIN:
     715                 :             :         case OBJECT_TYPE:
     716                 :             : 
     717                 :             :             /*
     718                 :             :              * The parse representation of types and domains in privilege
     719                 :             :              * targets is different from that expected by get_object_address()
     720                 :             :              * (for parse conflict reasons), so we have to do a bit of
     721                 :             :              * conversion here.
     722                 :             :              */
     723   [ +  -  +  +  :         182 :             foreach(cell, objnames)
                   +  + ]
     724                 :             :             {
     725                 :          93 :                 List       *typname = (List *) lfirst(cell);
     726                 :          93 :                 TypeName   *tn = makeTypeNameFromNameList(typname);
     727                 :             :                 ObjectAddress address;
     728                 :             :                 Relation    relation;
     729                 :             : 
     730                 :          93 :                 address = get_object_address(objtype, (Node *) tn, &relation, lockmode, false);
     731                 :             :                 Assert(relation == NULL);
     732                 :          89 :                 objects = lappend_oid(objects, address.objectId);
     733                 :             :             }
     734                 :          89 :             break;
     735                 :             : 
     736                 :          37 :         case OBJECT_PARAMETER_ACL:
     737                 :             : 
     738                 :             :             /*
     739                 :             :              * Parameters are handled completely differently.
     740                 :             :              */
     741   [ +  -  +  +  :          98 :             foreach(cell, objnames)
                   +  + ]
     742                 :             :             {
     743                 :             :                 /*
     744                 :             :                  * In this code we represent a GUC by the OID of its entry in
     745                 :             :                  * pg_parameter_acl, which we have to manufacture here if it
     746                 :             :                  * doesn't exist yet.  (That's a hack for sure, but it avoids
     747                 :             :                  * messing with all the GRANT/REVOKE infrastructure that
     748                 :             :                  * expects to use OIDs for object identities.)  However, if
     749                 :             :                  * this is a REVOKE, we can instead just ignore any GUCs that
     750                 :             :                  * don't have such an entry, as they must not have any
     751                 :             :                  * privileges needing removal.
     752                 :             :                  */
     753                 :          62 :                 char       *parameter = strVal(lfirst(cell));
     754                 :          62 :                 Oid         parameterId = ParameterAclLookup(parameter, true);
     755                 :             : 
     756   [ +  +  +  + ]:          62 :                 if (!OidIsValid(parameterId) && is_grant)
     757                 :             :                 {
     758                 :          34 :                     parameterId = ParameterAclCreate(parameter);
     759                 :             : 
     760                 :             :                     /*
     761                 :             :                      * Prevent error when processing duplicate objects, and
     762                 :             :                      * make this new entry visible so that ExecGrant_Parameter
     763                 :             :                      * can update it.
     764                 :             :                      */
     765                 :          33 :                     CommandCounterIncrement();
     766                 :             :                 }
     767         [ +  + ]:          61 :                 if (OidIsValid(parameterId))
     768                 :          55 :                     objects = lappend_oid(objects, parameterId);
     769                 :             :             }
     770                 :          36 :             break;
     771                 :             :     }
     772                 :             : 
     773                 :       12603 :     return objects;
     774                 :             : }
     775                 :             : 
     776                 :             : /*
     777                 :             :  * objectsInSchemaToOids
     778                 :             :  *
     779                 :             :  * Find all objects of a given type in specified schemas, and make a list
     780                 :             :  * of their Oids.  We check USAGE privilege on the schemas, but there is
     781                 :             :  * no privilege checking on the individual objects here.
     782                 :             :  */
     783                 :             : static List *
     784                 :          21 : objectsInSchemaToOids(ObjectType objtype, List *nspnames)
     785                 :             : {
     786                 :          21 :     List       *objects = NIL;
     787                 :             :     ListCell   *cell;
     788                 :             : 
     789   [ +  -  +  +  :          42 :     foreach(cell, nspnames)
                   +  + ]
     790                 :             :     {
     791                 :          21 :         char       *nspname = strVal(lfirst(cell));
     792                 :             :         Oid         namespaceId;
     793                 :             :         List       *objs;
     794                 :             : 
     795                 :          21 :         namespaceId = LookupExplicitNamespace(nspname, false);
     796                 :             : 
     797   [ +  +  -  +  :          21 :         switch (objtype)
                      - ]
     798                 :             :         {
     799                 :           8 :             case OBJECT_TABLE:
     800                 :           8 :                 objs = getRelationsInNamespace(namespaceId, RELKIND_RELATION);
     801                 :           8 :                 objects = list_concat(objects, objs);
     802                 :           8 :                 objs = getRelationsInNamespace(namespaceId, RELKIND_VIEW);
     803                 :           8 :                 objects = list_concat(objects, objs);
     804                 :           8 :                 objs = getRelationsInNamespace(namespaceId, RELKIND_MATVIEW);
     805                 :           8 :                 objects = list_concat(objects, objs);
     806                 :           8 :                 objs = getRelationsInNamespace(namespaceId, RELKIND_FOREIGN_TABLE);
     807                 :           8 :                 objects = list_concat(objects, objs);
     808                 :           8 :                 objs = getRelationsInNamespace(namespaceId, RELKIND_PARTITIONED_TABLE);
     809                 :           8 :                 objects = list_concat(objects, objs);
     810                 :           8 :                 break;
     811                 :           1 :             case OBJECT_SEQUENCE:
     812                 :           1 :                 objs = getRelationsInNamespace(namespaceId, RELKIND_SEQUENCE);
     813                 :           1 :                 objects = list_concat(objects, objs);
     814                 :           1 :                 break;
     815                 :           0 :             case OBJECT_PROPGRAPH:
     816                 :           0 :                 objs = getRelationsInNamespace(namespaceId, RELKIND_PROPGRAPH);
     817                 :           0 :                 objects = list_concat(objects, objs);
     818                 :           0 :                 break;
     819                 :          12 :             case OBJECT_FUNCTION:
     820                 :             :             case OBJECT_PROCEDURE:
     821                 :             :             case OBJECT_ROUTINE:
     822                 :             :                 {
     823                 :             :                     ScanKeyData key[2];
     824                 :             :                     int         keycount;
     825                 :             :                     Relation    rel;
     826                 :             :                     TableScanDesc scan;
     827                 :             :                     HeapTuple   tuple;
     828                 :             : 
     829                 :          12 :                     keycount = 0;
     830                 :          12 :                     ScanKeyInit(&key[keycount++],
     831                 :             :                                 Anum_pg_proc_pronamespace,
     832                 :             :                                 BTEqualStrategyNumber, F_OIDEQ,
     833                 :             :                                 ObjectIdGetDatum(namespaceId));
     834                 :             : 
     835         [ +  + ]:          12 :                     if (objtype == OBJECT_FUNCTION)
     836                 :             :                         /* includes aggregates and window functions */
     837                 :           4 :                         ScanKeyInit(&key[keycount++],
     838                 :             :                                     Anum_pg_proc_prokind,
     839                 :             :                                     BTEqualStrategyNumber, F_CHARNE,
     840                 :             :                                     CharGetDatum(PROKIND_PROCEDURE));
     841         [ +  + ]:           8 :                     else if (objtype == OBJECT_PROCEDURE)
     842                 :           4 :                         ScanKeyInit(&key[keycount++],
     843                 :             :                                     Anum_pg_proc_prokind,
     844                 :             :                                     BTEqualStrategyNumber, F_CHAREQ,
     845                 :             :                                     CharGetDatum(PROKIND_PROCEDURE));
     846                 :             : 
     847                 :          12 :                     rel = table_open(ProcedureRelationId, AccessShareLock);
     848                 :          12 :                     scan = table_beginscan_catalog(rel, keycount, key);
     849                 :             : 
     850         [ +  + ]:          36 :                     while ((tuple = heap_getnext(scan, ForwardScanDirection)) != NULL)
     851                 :             :                     {
     852                 :          24 :                         Oid         oid = ((Form_pg_proc) GETSTRUCT(tuple))->oid;
     853                 :             : 
     854                 :          24 :                         objects = lappend_oid(objects, oid);
     855                 :             :                     }
     856                 :             : 
     857                 :          12 :                     table_endscan(scan);
     858                 :          12 :                     table_close(rel, AccessShareLock);
     859                 :             :                 }
     860                 :          12 :                 break;
     861                 :           0 :             default:
     862                 :             :                 /* should not happen */
     863         [ #  # ]:           0 :                 elog(ERROR, "unrecognized GrantStmt.objtype: %d",
     864                 :             :                      (int) objtype);
     865                 :             :         }
     866                 :             :     }
     867                 :             : 
     868                 :          21 :     return objects;
     869                 :             : }
     870                 :             : 
     871                 :             : /*
     872                 :             :  * getRelationsInNamespace
     873                 :             :  *
     874                 :             :  * Return Oid list of relations in given namespace filtered by relation kind
     875                 :             :  */
     876                 :             : static List *
     877                 :          41 : getRelationsInNamespace(Oid namespaceId, char relkind)
     878                 :             : {
     879                 :          41 :     List       *relations = NIL;
     880                 :             :     ScanKeyData key[2];
     881                 :             :     Relation    rel;
     882                 :             :     TableScanDesc scan;
     883                 :             :     HeapTuple   tuple;
     884                 :             : 
     885                 :          41 :     ScanKeyInit(&key[0],
     886                 :             :                 Anum_pg_class_relnamespace,
     887                 :             :                 BTEqualStrategyNumber, F_OIDEQ,
     888                 :             :                 ObjectIdGetDatum(namespaceId));
     889                 :          41 :     ScanKeyInit(&key[1],
     890                 :             :                 Anum_pg_class_relkind,
     891                 :             :                 BTEqualStrategyNumber, F_CHAREQ,
     892                 :             :                 CharGetDatum(relkind));
     893                 :             : 
     894                 :          41 :     rel = table_open(RelationRelationId, AccessShareLock);
     895                 :          41 :     scan = table_beginscan_catalog(rel, 2, key);
     896                 :             : 
     897         [ +  + ]:          62 :     while ((tuple = heap_getnext(scan, ForwardScanDirection)) != NULL)
     898                 :             :     {
     899                 :          21 :         Oid         oid = ((Form_pg_class) GETSTRUCT(tuple))->oid;
     900                 :             : 
     901                 :          21 :         relations = lappend_oid(relations, oid);
     902                 :             :     }
     903                 :             : 
     904                 :          41 :     table_endscan(scan);
     905                 :          41 :     table_close(rel, AccessShareLock);
     906                 :             : 
     907                 :          41 :     return relations;
     908                 :             : }
     909                 :             : 
     910                 :             : 
     911                 :             : /*
     912                 :             :  * ALTER DEFAULT PRIVILEGES statement
     913                 :             :  */
     914                 :             : void
     915                 :         135 : ExecAlterDefaultPrivilegesStmt(ParseState *pstate, AlterDefaultPrivilegesStmt *stmt)
     916                 :             : {
     917                 :         135 :     GrantStmt  *action = stmt->action;
     918                 :             :     InternalDefaultACL iacls;
     919                 :             :     ListCell   *cell;
     920                 :         135 :     List       *rolespecs = NIL;
     921                 :         135 :     List       *nspnames = NIL;
     922                 :         135 :     DefElem    *drolespecs = NULL;
     923                 :         135 :     DefElem    *dnspnames = NULL;
     924                 :             :     AclMode     all_privileges;
     925                 :             :     const char *errormsg;
     926                 :             : 
     927                 :             :     /* Deconstruct the "options" part of the statement */
     928   [ +  +  +  +  :         228 :     foreach(cell, stmt->options)
                   +  + ]
     929                 :             :     {
     930                 :          93 :         DefElem    *defel = (DefElem *) lfirst(cell);
     931                 :             : 
     932         [ +  + ]:          93 :         if (strcmp(defel->defname, "schemas") == 0)
     933                 :             :         {
     934         [ -  + ]:          39 :             if (dnspnames)
     935                 :           0 :                 errorConflictingDefElem(defel, pstate);
     936                 :          39 :             dnspnames = defel;
     937                 :             :         }
     938         [ +  - ]:          54 :         else if (strcmp(defel->defname, "roles") == 0)
     939                 :             :         {
     940         [ -  + ]:          54 :             if (drolespecs)
     941                 :           0 :                 errorConflictingDefElem(defel, pstate);
     942                 :          54 :             drolespecs = defel;
     943                 :             :         }
     944                 :             :         else
     945         [ #  # ]:           0 :             elog(ERROR, "option \"%s\" not recognized", defel->defname);
     946                 :             :     }
     947                 :             : 
     948         [ +  + ]:         135 :     if (dnspnames)
     949                 :          39 :         nspnames = (List *) dnspnames->arg;
     950         [ +  + ]:         135 :     if (drolespecs)
     951                 :          54 :         rolespecs = (List *) drolespecs->arg;
     952                 :             : 
     953                 :             :     /* Prepare the InternalDefaultACL representation of the statement */
     954                 :             :     /* roleid to be filled below */
     955                 :             :     /* nspid to be filled in SetDefaultACLsInSchemas */
     956                 :         135 :     iacls.is_grant = action->is_grant;
     957                 :         135 :     iacls.objtype = action->objtype;
     958                 :             :     /* all_privs to be filled below */
     959                 :             :     /* privileges to be filled below */
     960                 :         135 :     iacls.grantees = NIL;       /* filled below */
     961                 :         135 :     iacls.grant_option = action->grant_option;
     962                 :         135 :     iacls.grantor = action->grantor;
     963                 :         135 :     iacls.behavior = action->behavior;
     964                 :             : 
     965                 :             :     /*
     966                 :             :      * Convert the RoleSpec list into an Oid list.  Note that at this point we
     967                 :             :      * insert an ACL_ID_PUBLIC into the list if appropriate, so downstream
     968                 :             :      * there shouldn't be any additional work needed to support this case.
     969                 :             :      */
     970   [ +  -  +  +  :         274 :     foreach(cell, action->grantees)
                   +  + ]
     971                 :             :     {
     972                 :         139 :         RoleSpec   *grantee = (RoleSpec *) lfirst(cell);
     973                 :             :         Oid         grantee_uid;
     974                 :             : 
     975         [ +  + ]:         139 :         switch (grantee->roletype)
     976                 :             :         {
     977                 :          30 :             case ROLESPEC_PUBLIC:
     978                 :          30 :                 grantee_uid = ACL_ID_PUBLIC;
     979                 :          30 :                 break;
     980                 :         109 :             default:
     981                 :         109 :                 grantee_uid = get_rolespec_oid(grantee, false);
     982                 :         109 :                 break;
     983                 :             :         }
     984                 :         139 :         iacls.grantees = lappend_oid(iacls.grantees, grantee_uid);
     985                 :             :     }
     986                 :             : 
     987                 :             :     /*
     988                 :             :      * Convert action->privileges, a list of privilege strings, into an
     989                 :             :      * AclMode bitmask.
     990                 :             :      */
     991   [ +  +  +  -  :         135 :     switch (action->objtype)
          -  +  +  +  -  
                      - ]
     992                 :             :     {
     993                 :          51 :         case OBJECT_TABLE:
     994                 :          51 :             all_privileges = ACL_ALL_RIGHTS_RELATION;
     995                 :          51 :             errormsg = gettext_noop("invalid privilege type %s for relation");
     996                 :          51 :             break;
     997                 :           4 :         case OBJECT_SEQUENCE:
     998                 :           4 :             all_privileges = ACL_ALL_RIGHTS_SEQUENCE;
     999                 :           4 :             errormsg = gettext_noop("invalid privilege type %s for sequence");
    1000                 :           4 :             break;
    1001                 :          14 :         case OBJECT_FUNCTION:
    1002                 :          14 :             all_privileges = ACL_ALL_RIGHTS_FUNCTION;
    1003                 :          14 :             errormsg = gettext_noop("invalid privilege type %s for function");
    1004                 :          14 :             break;
    1005                 :           0 :         case OBJECT_PROCEDURE:
    1006                 :           0 :             all_privileges = ACL_ALL_RIGHTS_FUNCTION;
    1007                 :           0 :             errormsg = gettext_noop("invalid privilege type %s for procedure");
    1008                 :           0 :             break;
    1009                 :           0 :         case OBJECT_ROUTINE:
    1010                 :           0 :             all_privileges = ACL_ALL_RIGHTS_FUNCTION;
    1011                 :           0 :             errormsg = gettext_noop("invalid privilege type %s for routine");
    1012                 :           0 :             break;
    1013                 :          22 :         case OBJECT_TYPE:
    1014                 :          22 :             all_privileges = ACL_ALL_RIGHTS_TYPE;
    1015                 :          22 :             errormsg = gettext_noop("invalid privilege type %s for type");
    1016                 :          22 :             break;
    1017                 :          24 :         case OBJECT_SCHEMA:
    1018                 :          24 :             all_privileges = ACL_ALL_RIGHTS_SCHEMA;
    1019                 :          24 :             errormsg = gettext_noop("invalid privilege type %s for schema");
    1020                 :          24 :             break;
    1021                 :          20 :         case OBJECT_LARGEOBJECT:
    1022                 :          20 :             all_privileges = ACL_ALL_RIGHTS_LARGEOBJECT;
    1023                 :          20 :             errormsg = gettext_noop("invalid privilege type %s for large object");
    1024                 :          20 :             break;
    1025                 :           0 :         case OBJECT_PROPGRAPH:
    1026                 :           0 :             all_privileges = ACL_ALL_RIGHTS_PROPGRAPH;
    1027                 :           0 :             errormsg = gettext_noop("invalid privilege type %s for property graph");
    1028                 :           0 :             break;
    1029                 :           0 :         default:
    1030         [ #  # ]:           0 :             elog(ERROR, "unrecognized GrantStmt.objtype: %d",
    1031                 :             :                  (int) action->objtype);
    1032                 :             :             /* keep compiler quiet */
    1033                 :             :             all_privileges = ACL_NO_RIGHTS;
    1034                 :             :             errormsg = NULL;
    1035                 :             :     }
    1036                 :             : 
    1037         [ +  + ]:         135 :     if (action->privileges == NIL)
    1038                 :             :     {
    1039                 :          51 :         iacls.all_privs = true;
    1040                 :             : 
    1041                 :             :         /*
    1042                 :             :          * will be turned into ACL_ALL_RIGHTS_* by the internal routines
    1043                 :             :          * depending on the object type
    1044                 :             :          */
    1045                 :          51 :         iacls.privileges = ACL_NO_RIGHTS;
    1046                 :             :     }
    1047                 :             :     else
    1048                 :             :     {
    1049                 :          84 :         iacls.all_privs = false;
    1050                 :          84 :         iacls.privileges = ACL_NO_RIGHTS;
    1051                 :             : 
    1052   [ +  -  +  +  :         168 :         foreach(cell, action->privileges)
                   +  + ]
    1053                 :             :         {
    1054                 :          84 :             AccessPriv *privnode = (AccessPriv *) lfirst(cell);
    1055                 :             :             AclMode     priv;
    1056                 :             : 
    1057         [ -  + ]:          84 :             if (privnode->cols)
    1058         [ #  # ]:           0 :                 ereport(ERROR,
    1059                 :             :                         (errcode(ERRCODE_INVALID_GRANT_OPERATION),
    1060                 :             :                          errmsg("default privileges cannot be set for columns")));
    1061                 :             : 
    1062         [ -  + ]:          84 :             if (privnode->priv_name == NULL) /* parser mistake? */
    1063         [ #  # ]:           0 :                 elog(ERROR, "AccessPriv node must specify privilege");
    1064                 :          84 :             priv = string_to_privilege(privnode->priv_name);
    1065                 :             : 
    1066         [ -  + ]:          84 :             if (priv & ~all_privileges)
    1067         [ #  # ]:           0 :                 ereport(ERROR,
    1068                 :             :                         (errcode(ERRCODE_INVALID_GRANT_OPERATION),
    1069                 :             :                          errmsg(errormsg, privilege_to_string(priv))));
    1070                 :             : 
    1071                 :          84 :             iacls.privileges |= priv;
    1072                 :             :         }
    1073                 :             :     }
    1074                 :             : 
    1075         [ +  + ]:         135 :     if (rolespecs == NIL)
    1076                 :             :     {
    1077                 :             :         /* Set permissions for myself */
    1078                 :          81 :         iacls.roleid = GetUserId();
    1079                 :             : 
    1080                 :          81 :         SetDefaultACLsInSchemas(&iacls, nspnames);
    1081                 :             :     }
    1082                 :             :     else
    1083                 :             :     {
    1084                 :             :         /* Look up the role OIDs and do permissions checks */
    1085                 :             :         ListCell   *rolecell;
    1086                 :             : 
    1087   [ +  -  +  +  :         108 :         foreach(rolecell, rolespecs)
                   +  + ]
    1088                 :             :         {
    1089                 :          54 :             RoleSpec   *rolespec = lfirst(rolecell);
    1090                 :             : 
    1091                 :          54 :             iacls.roleid = get_rolespec_oid(rolespec, false);
    1092                 :             : 
    1093         [ -  + ]:          54 :             if (!has_privs_of_role(GetUserId(), iacls.roleid))
    1094         [ #  # ]:           0 :                 ereport(ERROR,
    1095                 :             :                         (errcode(ERRCODE_INSUFFICIENT_PRIVILEGE),
    1096                 :             :                          errmsg("permission denied to change default privileges")));
    1097                 :             : 
    1098                 :          54 :             SetDefaultACLsInSchemas(&iacls, nspnames);
    1099                 :             :         }
    1100                 :             :     }
    1101                 :         127 : }
    1102                 :             : 
    1103                 :             : /*
    1104                 :             :  * Process ALTER DEFAULT PRIVILEGES for a list of target schemas
    1105                 :             :  *
    1106                 :             :  * All fields of *iacls except nspid were filled already
    1107                 :             :  */
    1108                 :             : static void
    1109                 :         135 : SetDefaultACLsInSchemas(InternalDefaultACL *iacls, List *nspnames)
    1110                 :             : {
    1111         [ +  + ]:         135 :     if (nspnames == NIL)
    1112                 :             :     {
    1113                 :             :         /* Set database-wide permissions if no schema was specified */
    1114                 :          96 :         iacls->nspid = InvalidOid;
    1115                 :             : 
    1116                 :          96 :         SetDefaultACL(iacls);
    1117                 :             :     }
    1118                 :             :     else
    1119                 :             :     {
    1120                 :             :         /* Look up the schema OIDs and set permissions for each one */
    1121                 :             :         ListCell   *nspcell;
    1122                 :             : 
    1123   [ +  -  +  +  :          74 :         foreach(nspcell, nspnames)
                   +  + ]
    1124                 :             :         {
    1125                 :          43 :             char       *nspname = strVal(lfirst(nspcell));
    1126                 :             : 
    1127                 :          43 :             iacls->nspid = get_namespace_oid(nspname, false);
    1128                 :             : 
    1129                 :             :             /*
    1130                 :             :              * We used to insist that the target role have CREATE privileges
    1131                 :             :              * on the schema, since without that it wouldn't be able to create
    1132                 :             :              * an object for which these default privileges would apply.
    1133                 :             :              * However, this check proved to be more confusing than helpful,
    1134                 :             :              * and it also caused certain database states to not be
    1135                 :             :              * dumpable/restorable, since revoking CREATE doesn't cause
    1136                 :             :              * default privileges for the schema to go away.  So now, we just
    1137                 :             :              * allow the ALTER; if the user lacks CREATE he'll find out when
    1138                 :             :              * he tries to create an object.
    1139                 :             :              */
    1140                 :             : 
    1141                 :          43 :             SetDefaultACL(iacls);
    1142                 :             :         }
    1143                 :             :     }
    1144                 :         127 : }
    1145                 :             : 
    1146                 :             : 
    1147                 :             : /*
    1148                 :             :  * Create or update a pg_default_acl entry
    1149                 :             :  */
    1150                 :             : static void
    1151                 :         163 : SetDefaultACL(InternalDefaultACL *iacls)
    1152                 :             : {
    1153                 :         163 :     AclMode     this_privileges = iacls->privileges;
    1154                 :             :     char        objtype;
    1155                 :             :     Relation    rel;
    1156                 :             :     HeapTuple   tuple;
    1157                 :             :     bool        isNew;
    1158                 :             :     Acl        *def_acl;
    1159                 :             :     Acl        *old_acl;
    1160                 :             :     Acl        *new_acl;
    1161                 :             :     HeapTuple   newtuple;
    1162                 :             :     int         noldmembers;
    1163                 :             :     int         nnewmembers;
    1164                 :             :     Oid        *oldmembers;
    1165                 :             :     Oid        *newmembers;
    1166                 :             : 
    1167                 :         163 :     rel = table_open(DefaultAclRelationId, RowExclusiveLock);
    1168                 :             : 
    1169                 :             :     /*
    1170                 :             :      * The default for a global entry is the hard-wired default ACL for the
    1171                 :             :      * particular object type.  The default for non-global entries is an empty
    1172                 :             :      * ACL.  This must be so because global entries replace the hard-wired
    1173                 :             :      * defaults, while others are added on.
    1174                 :             :      */
    1175         [ +  + ]:         163 :     if (!OidIsValid(iacls->nspid))
    1176                 :         120 :         def_acl = acldefault(iacls->objtype, iacls->roleid);
    1177                 :             :     else
    1178                 :          43 :         def_acl = make_empty_acl();
    1179                 :             : 
    1180                 :             :     /*
    1181                 :             :      * Convert ACL object type to pg_default_acl object type and handle
    1182                 :             :      * all_privs option
    1183                 :             :      */
    1184   [ +  +  +  +  :         163 :     switch (iacls->objtype)
                +  +  - ]
    1185                 :             :     {
    1186                 :          59 :         case OBJECT_TABLE:
    1187                 :          59 :             objtype = DEFACLOBJ_RELATION;
    1188   [ +  +  +  - ]:          59 :             if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
    1189                 :          17 :                 this_privileges = ACL_ALL_RIGHTS_RELATION;
    1190                 :          59 :             break;
    1191                 :             : 
    1192                 :           8 :         case OBJECT_SEQUENCE:
    1193                 :           8 :             objtype = DEFACLOBJ_SEQUENCE;
    1194   [ +  -  +  - ]:           8 :             if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
    1195                 :           8 :                 this_privileges = ACL_ALL_RIGHTS_SEQUENCE;
    1196                 :           8 :             break;
    1197                 :             : 
    1198                 :          18 :         case OBJECT_FUNCTION:
    1199                 :          18 :             objtype = DEFACLOBJ_FUNCTION;
    1200   [ +  +  +  - ]:          18 :             if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
    1201                 :           8 :                 this_privileges = ACL_ALL_RIGHTS_FUNCTION;
    1202                 :          18 :             break;
    1203                 :             : 
    1204                 :          26 :         case OBJECT_TYPE:
    1205                 :          26 :             objtype = DEFACLOBJ_TYPE;
    1206   [ +  +  +  - ]:          26 :             if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
    1207                 :          10 :                 this_privileges = ACL_ALL_RIGHTS_TYPE;
    1208                 :          26 :             break;
    1209                 :             : 
    1210                 :          28 :         case OBJECT_SCHEMA:
    1211         [ +  + ]:          28 :             if (OidIsValid(iacls->nspid))
    1212         [ +  - ]:           4 :                 ereport(ERROR,
    1213                 :             :                         (errcode(ERRCODE_INVALID_GRANT_OPERATION),
    1214                 :             :                          errmsg("cannot use IN SCHEMA clause when using %s",
    1215                 :             :                                 "GRANT/REVOKE ON SCHEMAS")));
    1216                 :          24 :             objtype = DEFACLOBJ_NAMESPACE;
    1217   [ +  +  +  - ]:          24 :             if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
    1218                 :          16 :                 this_privileges = ACL_ALL_RIGHTS_SCHEMA;
    1219                 :          24 :             break;
    1220                 :             : 
    1221                 :          24 :         case OBJECT_LARGEOBJECT:
    1222         [ +  + ]:          24 :             if (OidIsValid(iacls->nspid))
    1223         [ +  - ]:           4 :                 ereport(ERROR,
    1224                 :             :                         (errcode(ERRCODE_INVALID_GRANT_OPERATION),
    1225                 :             :                          errmsg("cannot use IN SCHEMA clause when using %s",
    1226                 :             :                                 "GRANT/REVOKE ON LARGE OBJECTS")));
    1227                 :          20 :             objtype = DEFACLOBJ_LARGEOBJECT;
    1228   [ +  +  +  - ]:          20 :             if (iacls->all_privs && this_privileges == ACL_NO_RIGHTS)
    1229                 :          12 :                 this_privileges = ACL_ALL_RIGHTS_LARGEOBJECT;
    1230                 :          20 :             break;
    1231                 :             : 
    1232                 :           0 :         default:
    1233         [ #  # ]:           0 :             elog(ERROR, "unrecognized object type: %d",
    1234                 :             :                  (int) iacls->objtype);
    1235                 :             :             objtype = 0;        /* keep compiler quiet */
    1236                 :             :             break;
    1237                 :             :     }
    1238                 :             : 
    1239                 :             :     /* Search for existing row for this object type in catalog */
    1240                 :         155 :     tuple = SearchSysCache3(DEFACLROLENSPOBJ,
    1241                 :             :                             ObjectIdGetDatum(iacls->roleid),
    1242                 :             :                             ObjectIdGetDatum(iacls->nspid),
    1243                 :             :                             CharGetDatum(objtype));
    1244                 :             : 
    1245         [ +  + ]:         155 :     if (HeapTupleIsValid(tuple))
    1246                 :             :     {
    1247                 :             :         Datum       aclDatum;
    1248                 :             :         bool        isNull;
    1249                 :             : 
    1250                 :          60 :         aclDatum = SysCacheGetAttr(DEFACLROLENSPOBJ, tuple,
    1251                 :             :                                    Anum_pg_default_acl_defaclacl,
    1252                 :             :                                    &isNull);
    1253         [ +  - ]:          60 :         if (!isNull)
    1254                 :          60 :             old_acl = DatumGetAclPCopy(aclDatum);
    1255                 :             :         else
    1256                 :           0 :             old_acl = NULL;     /* this case shouldn't happen, probably */
    1257                 :          60 :         isNew = false;
    1258                 :             :     }
    1259                 :             :     else
    1260                 :             :     {
    1261                 :          95 :         old_acl = NULL;
    1262                 :          95 :         isNew = true;
    1263                 :             :     }
    1264                 :             : 
    1265         [ +  + ]:         155 :     if (old_acl != NULL)
    1266                 :             :     {
    1267                 :             :         /*
    1268                 :             :          * We need the members of both old and new ACLs so we can correct the
    1269                 :             :          * shared dependency information.  Collect data before
    1270                 :             :          * merge_acl_with_grant throws away old_acl.
    1271                 :             :          */
    1272                 :          60 :         noldmembers = aclmembers(old_acl, &oldmembers);
    1273                 :             :     }
    1274                 :             :     else
    1275                 :             :     {
    1276                 :             :         /* If no or null entry, start with the default ACL value */
    1277                 :          95 :         old_acl = aclcopy(def_acl);
    1278                 :             :         /* There are no old member roles according to the catalogs */
    1279                 :          95 :         noldmembers = 0;
    1280                 :          95 :         oldmembers = NULL;
    1281                 :             :     }
    1282                 :             : 
    1283                 :             :     /*
    1284                 :             :      * Generate new ACL.  Grantor of rights is always the same as the target
    1285                 :             :      * role.
    1286                 :             :      */
    1287                 :         155 :     new_acl = merge_acl_with_grant(old_acl,
    1288                 :         155 :                                    iacls->is_grant,
    1289                 :         155 :                                    iacls->grant_option,
    1290                 :             :                                    iacls->behavior,
    1291                 :             :                                    iacls->grantees,
    1292                 :             :                                    this_privileges,
    1293                 :             :                                    iacls->roleid,
    1294                 :             :                                    iacls->roleid);
    1295                 :             : 
    1296                 :             :     /*
    1297                 :             :      * If the result is the same as the default value, we do not need an
    1298                 :             :      * explicit pg_default_acl entry, and should in fact remove the entry if
    1299                 :             :      * it exists.  Must sort both arrays to compare properly.
    1300                 :             :      */
    1301                 :         155 :     aclitemsort(new_acl);
    1302                 :         155 :     aclitemsort(def_acl);
    1303         [ +  + ]:         155 :     if (aclequal(new_acl, def_acl))
    1304                 :             :     {
    1305                 :             :         /* delete old entry, if indeed there is one */
    1306         [ +  + ]:          41 :         if (!isNew)
    1307                 :             :         {
    1308                 :             :             ObjectAddress myself;
    1309                 :             : 
    1310                 :             :             /*
    1311                 :             :              * The dependency machinery will take care of removing all
    1312                 :             :              * associated dependency entries.  We use DROP_RESTRICT since
    1313                 :             :              * there shouldn't be anything depending on this entry.
    1314                 :             :              */
    1315                 :          40 :             myself.classId = DefaultAclRelationId;
    1316                 :          40 :             myself.objectId = ((Form_pg_default_acl) GETSTRUCT(tuple))->oid;
    1317                 :          40 :             myself.objectSubId = 0;
    1318                 :             : 
    1319                 :          40 :             performDeletion(&myself, DROP_RESTRICT, 0);
    1320                 :             :         }
    1321                 :             :     }
    1322                 :             :     else
    1323                 :             :     {
    1324                 :         114 :         Datum       values[Natts_pg_default_acl] = {0};
    1325                 :         114 :         bool        nulls[Natts_pg_default_acl] = {0};
    1326                 :         114 :         bool        replaces[Natts_pg_default_acl] = {0};
    1327                 :             :         Oid         defAclOid;
    1328                 :             : 
    1329         [ +  + ]:         114 :         if (isNew)
    1330                 :             :         {
    1331                 :             :             /* insert new entry */
    1332                 :          94 :             defAclOid = GetNewOidWithIndex(rel, DefaultAclOidIndexId,
    1333                 :             :                                            Anum_pg_default_acl_oid);
    1334                 :          94 :             values[Anum_pg_default_acl_oid - 1] = ObjectIdGetDatum(defAclOid);
    1335                 :          94 :             values[Anum_pg_default_acl_defaclrole - 1] = ObjectIdGetDatum(iacls->roleid);
    1336                 :          94 :             values[Anum_pg_default_acl_defaclnamespace - 1] = ObjectIdGetDatum(iacls->nspid);
    1337                 :          94 :             values[Anum_pg_default_acl_defaclobjtype - 1] = CharGetDatum(objtype);
    1338                 :          94 :             values[Anum_pg_default_acl_defaclacl - 1] = PointerGetDatum(new_acl);
    1339                 :             : 
    1340                 :          94 :             newtuple = heap_form_tuple(RelationGetDescr(rel), values, nulls);
    1341                 :          94 :             CatalogTupleInsert(rel, newtuple);
    1342                 :             :         }
    1343                 :             :         else
    1344                 :             :         {
    1345                 :          20 :             defAclOid = ((Form_pg_default_acl) GETSTRUCT(tuple))->oid;
    1346                 :             : 
    1347                 :             :             /* update existing entry */
    1348                 :          20 :             values[Anum_pg_default_acl_defaclacl - 1] = PointerGetDatum(new_acl);
    1349                 :          20 :             replaces[Anum_pg_default_acl_defaclacl - 1] = true;
    1350                 :             : 
    1351                 :          20 :             newtuple = heap_modify_tuple(tuple, RelationGetDescr(rel),
    1352                 :             :                                          values, nulls, replaces);
    1353                 :          20 :             CatalogTupleUpdate(rel, &newtuple->t_self, newtuple);
    1354                 :             :         }
    1355                 :             : 
    1356                 :             :         /* these dependencies don't change in an update */
    1357         [ +  + ]:         114 :         if (isNew)
    1358                 :             :         {
    1359                 :             :             /* dependency on role */
    1360                 :          94 :             recordDependencyOnOwner(DefaultAclRelationId, defAclOid,
    1361                 :             :                                     iacls->roleid);
    1362                 :             : 
    1363                 :             :             /* dependency on namespace */
    1364         [ +  + ]:          94 :             if (OidIsValid(iacls->nspid))
    1365                 :             :             {
    1366                 :             :                 ObjectAddress myself,
    1367                 :             :                             referenced;
    1368                 :             : 
    1369                 :          22 :                 myself.classId = DefaultAclRelationId;
    1370                 :          22 :                 myself.objectId = defAclOid;
    1371                 :          22 :                 myself.objectSubId = 0;
    1372                 :             : 
    1373                 :          22 :                 referenced.classId = NamespaceRelationId;
    1374                 :          22 :                 referenced.objectId = iacls->nspid;
    1375                 :          22 :                 referenced.objectSubId = 0;
    1376                 :             : 
    1377                 :          22 :                 recordDependencyOn(&myself, &referenced, DEPENDENCY_AUTO);
    1378                 :             :             }
    1379                 :             :         }
    1380                 :             : 
    1381                 :             :         /*
    1382                 :             :          * Update the shared dependency ACL info
    1383                 :             :          */
    1384                 :         114 :         nnewmembers = aclmembers(new_acl, &newmembers);
    1385                 :             : 
    1386                 :         114 :         updateAclDependencies(DefaultAclRelationId,
    1387                 :             :                               defAclOid, 0,
    1388                 :             :                               iacls->roleid,
    1389                 :             :                               noldmembers, oldmembers,
    1390                 :             :                               nnewmembers, newmembers);
    1391                 :             : 
    1392         [ +  + ]:         114 :         if (isNew)
    1393         [ -  + ]:          94 :             InvokeObjectPostCreateHook(DefaultAclRelationId, defAclOid, 0);
    1394                 :             :         else
    1395         [ -  + ]:          20 :             InvokeObjectPostAlterHook(DefaultAclRelationId, defAclOid, 0);
    1396                 :             :     }
    1397                 :             : 
    1398         [ +  + ]:         155 :     if (HeapTupleIsValid(tuple))
    1399                 :          60 :         ReleaseSysCache(tuple);
    1400                 :             : 
    1401                 :         155 :     table_close(rel, RowExclusiveLock);
    1402                 :             : 
    1403                 :             :     /* prevent error when processing duplicate objects */
    1404                 :         155 :     CommandCounterIncrement();
    1405                 :         155 : }
    1406                 :             : 
    1407                 :             : 
    1408                 :             : /*
    1409                 :             :  * RemoveRoleFromObjectACL
    1410                 :             :  *
    1411                 :             :  * Used by shdepDropOwned to remove mentions of a role in ACLs.
    1412                 :             :  *
    1413                 :             :  * Notice that this doesn't accept an objsubid parameter, which is a bit bogus
    1414                 :             :  * since the pg_shdepend record that caused us to call it certainly had one.
    1415                 :             :  * If, for example, pg_shdepend records the existence of a permission on
    1416                 :             :  * mytable.mycol, this function will effectively issue a REVOKE ALL ON TABLE
    1417                 :             :  * mytable.  That gets the job done because (per SQL spec) such a REVOKE also
    1418                 :             :  * revokes per-column permissions.  We could not recreate a situation where
    1419                 :             :  * the role has table-level but not column-level permissions; but it's okay
    1420                 :             :  * (for now anyway) because this is only used when we're dropping the role
    1421                 :             :  * and so all its permissions everywhere must go away.  At worst it's a bit
    1422                 :             :  * inefficient if the role has column permissions on several columns of the
    1423                 :             :  * same table.
    1424                 :             :  */
    1425                 :             : void
    1426                 :         160 : RemoveRoleFromObjectACL(Oid roleid, Oid classid, Oid objid)
    1427                 :             : {
    1428         [ +  + ]:         160 :     if (classid == DefaultAclRelationId)
    1429                 :             :     {
    1430                 :             :         InternalDefaultACL iacls;
    1431                 :             :         Form_pg_default_acl pg_default_acl_tuple;
    1432                 :             :         Relation    rel;
    1433                 :             :         ScanKeyData skey[1];
    1434                 :             :         SysScanDesc scan;
    1435                 :             :         HeapTuple   tuple;
    1436                 :             : 
    1437                 :             :         /* first fetch info needed by SetDefaultACL */
    1438                 :          24 :         rel = table_open(DefaultAclRelationId, AccessShareLock);
    1439                 :             : 
    1440                 :          24 :         ScanKeyInit(&skey[0],
    1441                 :             :                     Anum_pg_default_acl_oid,
    1442                 :             :                     BTEqualStrategyNumber, F_OIDEQ,
    1443                 :             :                     ObjectIdGetDatum(objid));
    1444                 :             : 
    1445                 :          24 :         scan = systable_beginscan(rel, DefaultAclOidIndexId, true,
    1446                 :             :                                   NULL, 1, skey);
    1447                 :             : 
    1448                 :          24 :         tuple = systable_getnext(scan);
    1449                 :             : 
    1450         [ -  + ]:          24 :         if (!HeapTupleIsValid(tuple))
    1451         [ #  # ]:           0 :             elog(ERROR, "could not find tuple for default ACL %u", objid);
    1452                 :             : 
    1453                 :          24 :         pg_default_acl_tuple = (Form_pg_default_acl) GETSTRUCT(tuple);
    1454                 :             : 
    1455                 :          24 :         iacls.roleid = pg_default_acl_tuple->defaclrole;
    1456                 :          24 :         iacls.nspid = pg_default_acl_tuple->defaclnamespace;
    1457                 :             : 
    1458   [ +  +  +  +  :          24 :         switch (pg_default_acl_tuple->defaclobjtype)
                +  +  - ]
    1459                 :             :         {
    1460                 :           4 :             case DEFACLOBJ_RELATION:
    1461                 :           4 :                 iacls.objtype = OBJECT_TABLE;
    1462                 :           4 :                 break;
    1463                 :           4 :             case DEFACLOBJ_SEQUENCE:
    1464                 :           4 :                 iacls.objtype = OBJECT_SEQUENCE;
    1465                 :           4 :                 break;
    1466                 :           4 :             case DEFACLOBJ_FUNCTION:
    1467                 :           4 :                 iacls.objtype = OBJECT_FUNCTION;
    1468                 :           4 :                 break;
    1469                 :           4 :             case DEFACLOBJ_TYPE:
    1470                 :           4 :                 iacls.objtype = OBJECT_TYPE;
    1471                 :           4 :                 break;
    1472                 :           4 :             case DEFACLOBJ_NAMESPACE:
    1473                 :           4 :                 iacls.objtype = OBJECT_SCHEMA;
    1474                 :           4 :                 break;
    1475                 :           4 :             case DEFACLOBJ_LARGEOBJECT:
    1476                 :           4 :                 iacls.objtype = OBJECT_LARGEOBJECT;
    1477                 :           4 :                 break;
    1478                 :           0 :             default:
    1479                 :             :                 /* Shouldn't get here */
    1480         [ #  # ]:           0 :                 elog(ERROR, "unexpected default ACL type: %d",
    1481                 :             :                      (int) pg_default_acl_tuple->defaclobjtype);
    1482                 :             :                 break;
    1483                 :             :         }
    1484                 :             : 
    1485                 :          24 :         systable_endscan(scan);
    1486                 :          24 :         table_close(rel, AccessShareLock);
    1487                 :             : 
    1488                 :          24 :         iacls.is_grant = false;
    1489                 :          24 :         iacls.all_privs = true;
    1490                 :          24 :         iacls.privileges = ACL_NO_RIGHTS;
    1491                 :          24 :         iacls.grantees = list_make1_oid(roleid);
    1492                 :          24 :         iacls.grant_option = false;
    1493                 :          24 :         iacls.grantor = NULL;
    1494                 :          24 :         iacls.behavior = DROP_CASCADE;
    1495                 :             : 
    1496                 :             :         /* Do it */
    1497                 :          24 :         SetDefaultACL(&iacls);
    1498                 :             :     }
    1499                 :             :     else
    1500                 :             :     {
    1501                 :             :         InternalGrant istmt;
    1502                 :             : 
    1503   [ +  +  +  +  :         136 :         switch (classid)
          -  +  +  -  +  
                +  +  - ]
    1504                 :             :         {
    1505                 :          62 :             case RelationRelationId:
    1506                 :             :                 /* it's OK to use TABLE for a sequence */
    1507                 :          62 :                 istmt.objtype = OBJECT_TABLE;
    1508                 :          62 :                 break;
    1509                 :           6 :             case DatabaseRelationId:
    1510                 :           6 :                 istmt.objtype = OBJECT_DATABASE;
    1511                 :           6 :                 break;
    1512                 :           3 :             case TypeRelationId:
    1513                 :           3 :                 istmt.objtype = OBJECT_TYPE;
    1514                 :           3 :                 break;
    1515                 :          22 :             case ProcedureRelationId:
    1516                 :          22 :                 istmt.objtype = OBJECT_ROUTINE;
    1517                 :          22 :                 break;
    1518                 :           0 :             case LanguageRelationId:
    1519                 :           0 :                 istmt.objtype = OBJECT_LANGUAGE;
    1520                 :           0 :                 break;
    1521                 :          12 :             case LargeObjectRelationId:
    1522                 :          12 :                 istmt.objtype = OBJECT_LARGEOBJECT;
    1523                 :          12 :                 break;
    1524                 :           9 :             case NamespaceRelationId:
    1525                 :           9 :                 istmt.objtype = OBJECT_SCHEMA;
    1526                 :           9 :                 break;
    1527                 :           0 :             case TableSpaceRelationId:
    1528                 :           0 :                 istmt.objtype = OBJECT_TABLESPACE;
    1529                 :           0 :                 break;
    1530                 :           9 :             case ForeignServerRelationId:
    1531                 :           9 :                 istmt.objtype = OBJECT_FOREIGN_SERVER;
    1532                 :           9 :                 break;
    1533                 :           1 :             case ForeignDataWrapperRelationId:
    1534                 :           1 :                 istmt.objtype = OBJECT_FDW;
    1535                 :           1 :                 break;
    1536                 :          12 :             case ParameterAclRelationId:
    1537                 :          12 :                 istmt.objtype = OBJECT_PARAMETER_ACL;
    1538                 :          12 :                 break;
    1539                 :           0 :             default:
    1540         [ #  # ]:           0 :                 elog(ERROR, "unexpected object class %u", classid);
    1541                 :             :                 break;
    1542                 :             :         }
    1543                 :         136 :         istmt.is_grant = false;
    1544                 :         136 :         istmt.objects = list_make1_oid(objid);
    1545                 :         136 :         istmt.all_privs = true;
    1546                 :         136 :         istmt.privileges = ACL_NO_RIGHTS;
    1547                 :         136 :         istmt.col_privs = NIL;
    1548                 :         136 :         istmt.grantees = list_make1_oid(roleid);
    1549                 :         136 :         istmt.grant_option = false;
    1550                 :         136 :         istmt.grantor = NULL;
    1551                 :         136 :         istmt.behavior = DROP_CASCADE;
    1552                 :             : 
    1553                 :         136 :         ExecGrantStmt_oids(&istmt);
    1554                 :             :     }
    1555                 :         160 : }
    1556                 :             : 
    1557                 :             : 
    1558                 :             : /*
    1559                 :             :  * expand_col_privileges
    1560                 :             :  *
    1561                 :             :  * OR the specified privilege(s) into per-column array entries for each
    1562                 :             :  * specified attribute.  The per-column array is indexed starting at
    1563                 :             :  * FirstLowInvalidHeapAttributeNumber, up to relation's last attribute.
    1564                 :             :  */
    1565                 :             : static void
    1566                 :         319 : expand_col_privileges(List *colnames, Oid table_oid,
    1567                 :             :                       AclMode this_privileges,
    1568                 :             :                       AclMode *col_privileges,
    1569                 :             :                       int num_col_privileges)
    1570                 :             : {
    1571                 :             :     ListCell   *cell;
    1572                 :             : 
    1573   [ +  -  +  +  :        2096 :     foreach(cell, colnames)
                   +  + ]
    1574                 :             :     {
    1575                 :        1777 :         char       *colname = strVal(lfirst(cell));
    1576                 :             :         AttrNumber  attnum;
    1577                 :             : 
    1578                 :        1777 :         attnum = get_attnum(table_oid, colname);
    1579         [ -  + ]:        1777 :         if (attnum == InvalidAttrNumber)
    1580         [ #  # ]:           0 :             ereport(ERROR,
    1581                 :             :                     (errcode(ERRCODE_UNDEFINED_COLUMN),
    1582                 :             :                      errmsg("column \"%s\" of relation \"%s\" does not exist",
    1583                 :             :                             colname, get_rel_name(table_oid))));
    1584                 :        1777 :         attnum -= FirstLowInvalidHeapAttributeNumber;
    1585   [ +  -  -  + ]:        1777 :         if (attnum <= 0 || attnum >= num_col_privileges)
    1586         [ #  # ]:           0 :             elog(ERROR, "column number out of range");    /* safety check */
    1587                 :        1777 :         col_privileges[attnum] |= this_privileges;
    1588                 :             :     }
    1589                 :         319 : }
    1590                 :             : 
    1591                 :             : /*
    1592                 :             :  * expand_all_col_privileges
    1593                 :             :  *
    1594                 :             :  * OR the specified privilege(s) into per-column array entries for each valid
    1595                 :             :  * attribute of a relation.  The per-column array is indexed starting at
    1596                 :             :  * FirstLowInvalidHeapAttributeNumber, up to relation's last attribute.
    1597                 :             :  */
    1598                 :             : static void
    1599                 :        3495 : expand_all_col_privileges(Oid table_oid, Form_pg_class classForm,
    1600                 :             :                           AclMode this_privileges,
    1601                 :             :                           AclMode *col_privileges,
    1602                 :             :                           int num_col_privileges)
    1603                 :             : {
    1604                 :             :     AttrNumber  curr_att;
    1605                 :             : 
    1606                 :             :     Assert(classForm->relnatts - FirstLowInvalidHeapAttributeNumber < num_col_privileges);
    1607                 :        3495 :     for (curr_att = FirstLowInvalidHeapAttributeNumber + 1;
    1608         [ +  + ]:       37238 :          curr_att <= classForm->relnatts;
    1609                 :       33743 :          curr_att++)
    1610                 :             :     {
    1611                 :             :         HeapTuple   attTuple;
    1612                 :             :         bool        isdropped;
    1613                 :             : 
    1614         [ +  + ]:       33743 :         if (curr_att == InvalidAttrNumber)
    1615                 :        3495 :             continue;
    1616                 :             : 
    1617                 :             :         /* Views don't have any system columns at all */
    1618   [ +  +  +  + ]:       30248 :         if (classForm->relkind == RELKIND_VIEW && curr_att < 0)
    1619                 :        3756 :             continue;
    1620                 :             : 
    1621                 :       26492 :         attTuple = SearchSysCache2(ATTNUM,
    1622                 :             :                                    ObjectIdGetDatum(table_oid),
    1623                 :             :                                    Int16GetDatum(curr_att));
    1624         [ -  + ]:       26492 :         if (!HeapTupleIsValid(attTuple))
    1625         [ #  # ]:           0 :             elog(ERROR, "cache lookup failed for attribute %d of relation %u",
    1626                 :             :                  curr_att, table_oid);
    1627                 :             : 
    1628                 :       26492 :         isdropped = ((Form_pg_attribute) GETSTRUCT(attTuple))->attisdropped;
    1629                 :             : 
    1630                 :       26492 :         ReleaseSysCache(attTuple);
    1631                 :             : 
    1632                 :             :         /* ignore dropped columns */
    1633         [ +  + ]:       26492 :         if (isdropped)
    1634                 :           4 :             continue;
    1635                 :             : 
    1636                 :       26488 :         col_privileges[curr_att - FirstLowInvalidHeapAttributeNumber] |= this_privileges;
    1637                 :             :     }
    1638                 :        3495 : }
    1639                 :             : 
    1640                 :             : /*
    1641                 :             :  *  This processes attributes, but expects to be called from
    1642                 :             :  *  ExecGrant_Relation, not directly from ExecuteGrantStmt.
    1643                 :             :  */
    1644                 :             : static void
    1645                 :       28237 : ExecGrant_Attribute(InternalGrant *istmt, Oid relOid, const char *relname,
    1646                 :             :                     AttrNumber attnum, Oid ownerId, AclMode col_privileges,
    1647                 :             :                     Relation attRelation, const Acl *old_rel_acl)
    1648                 :             : {
    1649                 :             :     HeapTuple   attr_tuple;
    1650                 :             :     Form_pg_attribute pg_attribute_tuple;
    1651                 :             :     Acl        *old_acl;
    1652                 :             :     Acl        *new_acl;
    1653                 :             :     Acl        *merged_acl;
    1654                 :             :     Datum       aclDatum;
    1655                 :             :     bool        isNull;
    1656                 :             :     Oid         grantorId;
    1657                 :             :     AclMode     avail_goptions;
    1658                 :             :     bool        need_update;
    1659                 :             :     HeapTuple   newtuple;
    1660                 :       28237 :     Datum       values[Natts_pg_attribute] = {0};
    1661                 :       28237 :     bool        nulls[Natts_pg_attribute] = {0};
    1662                 :       28237 :     bool        replaces[Natts_pg_attribute] = {0};
    1663                 :             :     int         noldmembers;
    1664                 :             :     int         nnewmembers;
    1665                 :             :     Oid        *oldmembers;
    1666                 :             :     Oid        *newmembers;
    1667                 :             : 
    1668                 :       28237 :     attr_tuple = SearchSysCache2(ATTNUM,
    1669                 :             :                                  ObjectIdGetDatum(relOid),
    1670                 :             :                                  Int16GetDatum(attnum));
    1671         [ -  + ]:       28237 :     if (!HeapTupleIsValid(attr_tuple))
    1672         [ #  # ]:           0 :         elog(ERROR, "cache lookup failed for attribute %d of relation %u",
    1673                 :             :              attnum, relOid);
    1674                 :       28237 :     pg_attribute_tuple = (Form_pg_attribute) GETSTRUCT(attr_tuple);
    1675                 :             : 
    1676                 :             :     /*
    1677                 :             :      * Get working copy of existing ACL. If there's no ACL, substitute the
    1678                 :             :      * proper default.
    1679                 :             :      */
    1680                 :       28237 :     aclDatum = SysCacheGetAttr(ATTNUM, attr_tuple, Anum_pg_attribute_attacl,
    1681                 :             :                                &isNull);
    1682         [ +  + ]:       28237 :     if (isNull)
    1683                 :             :     {
    1684                 :       27989 :         old_acl = acldefault(OBJECT_COLUMN, ownerId);
    1685                 :             :         /* There are no old member roles according to the catalogs */
    1686                 :       27989 :         noldmembers = 0;
    1687                 :       27989 :         oldmembers = NULL;
    1688                 :             :     }
    1689                 :             :     else
    1690                 :             :     {
    1691                 :         248 :         old_acl = DatumGetAclPCopy(aclDatum);
    1692                 :             :         /* Get the roles mentioned in the existing ACL */
    1693                 :         248 :         noldmembers = aclmembers(old_acl, &oldmembers);
    1694                 :             :     }
    1695                 :             : 
    1696                 :             :     /*
    1697                 :             :      * In select_best_grantor we should consider existing table-level ACL bits
    1698                 :             :      * as well as the per-column ACL.  Build a new ACL that is their
    1699                 :             :      * concatenation.  (This is a bit cheap and dirty compared to merging them
    1700                 :             :      * properly with no duplications, but it's all we need here.)
    1701                 :             :      */
    1702                 :       28237 :     merged_acl = aclconcat(old_rel_acl, old_acl);
    1703                 :             : 
    1704                 :             :     /* Determine ID to do the grant as, and available grant options */
    1705                 :       28237 :     select_best_grantor(istmt->grantor, col_privileges,
    1706                 :             :                         merged_acl, ownerId,
    1707                 :             :                         &grantorId, &avail_goptions);
    1708                 :             : 
    1709                 :       28237 :     pfree(merged_acl);
    1710                 :             : 
    1711                 :             :     /*
    1712                 :             :      * Restrict the privileges to what we can actually grant, and emit the
    1713                 :             :      * standards-mandated warning and error messages.  Note: we don't track
    1714                 :             :      * whether the user actually used the ALL PRIVILEGES(columns) syntax for
    1715                 :             :      * each column; we just approximate it by whether all the possible
    1716                 :             :      * privileges are specified now.  Since the all_privs flag only determines
    1717                 :             :      * whether a warning is issued, this seems close enough.
    1718                 :             :      */
    1719                 :             :     col_privileges =
    1720                 :       28237 :         restrict_and_check_grant(istmt->is_grant, avail_goptions,
    1721                 :             :                                  (col_privileges == ACL_ALL_RIGHTS_COLUMN),
    1722                 :             :                                  col_privileges,
    1723                 :             :                                  relOid, grantorId, OBJECT_COLUMN,
    1724                 :             :                                  relname, attnum,
    1725                 :       28237 :                                  NameStr(pg_attribute_tuple->attname));
    1726                 :             : 
    1727                 :             :     /*
    1728                 :             :      * Generate new ACL.
    1729                 :             :      */
    1730                 :       28237 :     new_acl = merge_acl_with_grant(old_acl, istmt->is_grant,
    1731                 :       28237 :                                    istmt->grant_option,
    1732                 :             :                                    istmt->behavior, istmt->grantees,
    1733                 :             :                                    col_privileges, grantorId,
    1734                 :             :                                    ownerId);
    1735                 :             : 
    1736                 :             :     /*
    1737                 :             :      * We need the members of both old and new ACLs so we can correct the
    1738                 :             :      * shared dependency information.
    1739                 :             :      */
    1740                 :       28237 :     nnewmembers = aclmembers(new_acl, &newmembers);
    1741                 :             : 
    1742                 :             :     /* finished building new ACL value, now insert it */
    1743                 :             : 
    1744                 :             :     /*
    1745                 :             :      * If the updated ACL is empty, we can set attacl to null, and maybe even
    1746                 :             :      * avoid an update of the pg_attribute row.  This is worth testing because
    1747                 :             :      * we'll come through here multiple times for any relation-level REVOKE,
    1748                 :             :      * even if there were never any column GRANTs.  Note we are assuming that
    1749                 :             :      * the "default" ACL state for columns is empty.
    1750                 :             :      */
    1751         [ +  + ]:       28237 :     if (ACL_NUM(new_acl) > 0)
    1752                 :             :     {
    1753                 :        1790 :         values[Anum_pg_attribute_attacl - 1] = PointerGetDatum(new_acl);
    1754                 :        1790 :         need_update = true;
    1755                 :             :     }
    1756                 :             :     else
    1757                 :             :     {
    1758                 :       26447 :         nulls[Anum_pg_attribute_attacl - 1] = true;
    1759                 :       26447 :         need_update = !isNull;
    1760                 :             :     }
    1761                 :       28237 :     replaces[Anum_pg_attribute_attacl - 1] = true;
    1762                 :             : 
    1763         [ +  + ]:       28237 :     if (need_update)
    1764                 :             :     {
    1765                 :        1856 :         newtuple = heap_modify_tuple(attr_tuple, RelationGetDescr(attRelation),
    1766                 :             :                                      values, nulls, replaces);
    1767                 :             : 
    1768                 :        1856 :         CatalogTupleUpdate(attRelation, &newtuple->t_self, newtuple);
    1769                 :             : 
    1770                 :             :         /* Update initial privileges for extensions */
    1771                 :        1856 :         recordExtensionInitPriv(relOid, RelationRelationId, attnum,
    1772         [ +  + ]:        1856 :                                 ACL_NUM(new_acl) > 0 ? new_acl : NULL);
    1773                 :             : 
    1774                 :             :         /* Update the shared dependency ACL info */
    1775                 :        1856 :         updateAclDependencies(RelationRelationId, relOid, attnum,
    1776                 :             :                               ownerId,
    1777                 :             :                               noldmembers, oldmembers,
    1778                 :             :                               nnewmembers, newmembers);
    1779                 :             :     }
    1780                 :             : 
    1781                 :       28237 :     pfree(new_acl);
    1782                 :             : 
    1783                 :       28237 :     ReleaseSysCache(attr_tuple);
    1784                 :       28237 : }
    1785                 :             : 
    1786                 :             : /*
    1787                 :             :  *  This processes both sequences and non-sequences.
    1788                 :             :  */
    1789                 :             : static void
    1790                 :       11225 : ExecGrant_Relation(InternalGrant *istmt)
    1791                 :             : {
    1792                 :             :     Relation    relation;
    1793                 :             :     Relation    attRelation;
    1794                 :             :     ListCell   *cell;
    1795                 :             : 
    1796                 :       11225 :     relation = table_open(RelationRelationId, RowExclusiveLock);
    1797                 :       11225 :     attRelation = table_open(AttributeRelationId, RowExclusiveLock);
    1798                 :             : 
    1799   [ +  -  +  +  :       22482 :     foreach(cell, istmt->objects)
                   +  + ]
    1800                 :             :     {
    1801                 :       11272 :         Oid         relOid = lfirst_oid(cell);
    1802                 :             :         Datum       aclDatum;
    1803                 :             :         Form_pg_class pg_class_tuple;
    1804                 :             :         bool        isNull;
    1805                 :             :         AclMode     this_privileges;
    1806                 :             :         AclMode    *col_privileges;
    1807                 :             :         int         num_col_privileges;
    1808                 :             :         bool        have_col_privileges;
    1809                 :             :         Acl        *old_acl;
    1810                 :             :         Acl        *old_rel_acl;
    1811                 :             :         int         noldmembers;
    1812                 :             :         Oid        *oldmembers;
    1813                 :             :         Oid         ownerId;
    1814                 :             :         HeapTuple   tuple;
    1815                 :             :         ListCell   *cell_colprivs;
    1816                 :             : 
    1817                 :       11272 :         tuple = SearchSysCacheLocked1(RELOID, ObjectIdGetDatum(relOid));
    1818         [ +  + ]:       11272 :         if (!HeapTupleIsValid(tuple))
    1819         [ +  - ]:           1 :             elog(ERROR, "cache lookup failed for relation %u", relOid);
    1820                 :       11271 :         pg_class_tuple = (Form_pg_class) GETSTRUCT(tuple);
    1821                 :             : 
    1822                 :             :         /* Not sensible to grant on an index */
    1823         [ +  - ]:       11271 :         if (pg_class_tuple->relkind == RELKIND_INDEX ||
    1824         [ -  + ]:       11271 :             pg_class_tuple->relkind == RELKIND_PARTITIONED_INDEX)
    1825         [ #  # ]:           0 :             ereport(ERROR,
    1826                 :             :                     (errcode(ERRCODE_WRONG_OBJECT_TYPE),
    1827                 :             :                      errmsg("\"%s\" is an index",
    1828                 :             :                             NameStr(pg_class_tuple->relname))));
    1829                 :             : 
    1830                 :             :         /* Composite types aren't tables either */
    1831         [ -  + ]:       11271 :         if (pg_class_tuple->relkind == RELKIND_COMPOSITE_TYPE)
    1832         [ #  # ]:           0 :             ereport(ERROR,
    1833                 :             :                     (errcode(ERRCODE_WRONG_OBJECT_TYPE),
    1834                 :             :                      errmsg("\"%s\" is a composite type",
    1835                 :             :                             NameStr(pg_class_tuple->relname))));
    1836                 :             : 
    1837                 :             :         /* Used GRANT SEQUENCE on a non-sequence? */
    1838         [ +  + ]:       11271 :         if (istmt->objtype == OBJECT_SEQUENCE &&
    1839         [ -  + ]:          17 :             pg_class_tuple->relkind != RELKIND_SEQUENCE)
    1840         [ #  # ]:           0 :             ereport(ERROR,
    1841                 :             :                     (errcode(ERRCODE_WRONG_OBJECT_TYPE),
    1842                 :             :                      errmsg("\"%s\" is not a sequence",
    1843                 :             :                             NameStr(pg_class_tuple->relname))));
    1844                 :             : 
    1845         [ +  + ]:       11271 :         if (istmt->objtype == OBJECT_PROPGRAPH &&
    1846         [ -  + ]:           8 :             pg_class_tuple->relkind != RELKIND_PROPGRAPH)
    1847         [ #  # ]:           0 :             ereport(ERROR,
    1848                 :             :                     (errcode(ERRCODE_WRONG_OBJECT_TYPE),
    1849                 :             :                      errmsg("\"%s\" is not a property graph",
    1850                 :             :                             NameStr(pg_class_tuple->relname))));
    1851                 :             : 
    1852                 :             :         /* Adjust the default permissions based on object type */
    1853   [ +  +  +  - ]:       11271 :         if (istmt->all_privs && istmt->privileges == ACL_NO_RIGHTS)
    1854                 :             :         {
    1855         [ +  + ]:        1278 :             if (pg_class_tuple->relkind == RELKIND_SEQUENCE)
    1856                 :          52 :                 this_privileges = ACL_ALL_RIGHTS_SEQUENCE;
    1857         [ +  + ]:        1226 :             else if (pg_class_tuple->relkind == RELKIND_PROPGRAPH)
    1858                 :           3 :                 this_privileges = ACL_ALL_RIGHTS_PROPGRAPH;
    1859                 :             :             else
    1860                 :        1223 :                 this_privileges = ACL_ALL_RIGHTS_RELATION;
    1861                 :             :         }
    1862                 :             :         else
    1863                 :        9993 :             this_privileges = istmt->privileges;
    1864                 :             : 
    1865                 :             :         /*
    1866                 :             :          * The GRANT TABLE syntax can be used for sequences and non-sequences,
    1867                 :             :          * so we have to look at the relkind to determine the supported
    1868                 :             :          * permissions.  The OR of table and sequence permissions were already
    1869                 :             :          * checked.
    1870                 :             :          */
    1871         [ +  + ]:       11271 :         if (istmt->objtype == OBJECT_TABLE)
    1872                 :             :         {
    1873         [ +  + ]:       11246 :             if (pg_class_tuple->relkind == RELKIND_SEQUENCE)
    1874                 :             :             {
    1875                 :             :                 /*
    1876                 :             :                  * For backward compatibility, just throw a warning for
    1877                 :             :                  * invalid sequence permissions when using the non-sequence
    1878                 :             :                  * GRANT syntax.
    1879                 :             :                  */
    1880         [ -  + ]:          98 :                 if (this_privileges & ~((AclMode) ACL_ALL_RIGHTS_SEQUENCE))
    1881                 :             :                 {
    1882                 :             :                     /*
    1883                 :             :                      * Mention the object name because the user needs to know
    1884                 :             :                      * which operations succeeded.  This is required because
    1885                 :             :                      * WARNING allows the command to continue.
    1886                 :             :                      */
    1887         [ #  # ]:           0 :                     ereport(WARNING,
    1888                 :             :                             (errcode(ERRCODE_INVALID_GRANT_OPERATION),
    1889                 :             :                              errmsg("sequence \"%s\" only supports USAGE, SELECT, and UPDATE privileges",
    1890                 :             :                                     NameStr(pg_class_tuple->relname))));
    1891                 :           0 :                     this_privileges &= (AclMode) ACL_ALL_RIGHTS_SEQUENCE;
    1892                 :             :                 }
    1893                 :             :             }
    1894                 :             :             else
    1895                 :             :             {
    1896         [ -  + ]:       11148 :                 if (this_privileges & ~((AclMode) ACL_ALL_RIGHTS_RELATION))
    1897                 :             :                 {
    1898                 :             :                     /*
    1899                 :             :                      * USAGE is the only permission supported by sequences but
    1900                 :             :                      * not by non-sequences.  Don't mention the object name
    1901                 :             :                      * because we didn't in the combined TABLE | SEQUENCE
    1902                 :             :                      * check.
    1903                 :             :                      */
    1904         [ #  # ]:           0 :                     ereport(ERROR,
    1905                 :             :                             (errcode(ERRCODE_INVALID_GRANT_OPERATION),
    1906                 :             :                              errmsg("invalid privilege type %s for table",
    1907                 :             :                                     "USAGE")));
    1908                 :             :                 }
    1909                 :             :             }
    1910                 :             :         }
    1911                 :             : 
    1912                 :             :         /*
    1913                 :             :          * Set up array in which we'll accumulate any column privilege bits
    1914                 :             :          * that need modification.  The array is indexed such that entry [0]
    1915                 :             :          * corresponds to FirstLowInvalidHeapAttributeNumber.
    1916                 :             :          */
    1917                 :       11271 :         num_col_privileges = pg_class_tuple->relnatts - FirstLowInvalidHeapAttributeNumber + 1;
    1918                 :       11271 :         col_privileges = (AclMode *) palloc0(num_col_privileges * sizeof(AclMode));
    1919                 :       11271 :         have_col_privileges = false;
    1920                 :             : 
    1921                 :             :         /*
    1922                 :             :          * If we are revoking relation privileges that are also column
    1923                 :             :          * privileges, we must implicitly revoke them from each column too,
    1924                 :             :          * per SQL spec.  (We don't need to implicitly add column privileges
    1925                 :             :          * during GRANT because the permissions-checking code always checks
    1926                 :             :          * both relation and per-column privileges.)
    1927                 :             :          */
    1928         [ +  + ]:       11271 :         if (!istmt->is_grant &&
    1929         [ +  + ]:        3544 :             (this_privileges & ACL_ALL_RIGHTS_COLUMN) != 0)
    1930                 :             :         {
    1931                 :        3495 :             expand_all_col_privileges(relOid, pg_class_tuple,
    1932                 :             :                                       this_privileges & ACL_ALL_RIGHTS_COLUMN,
    1933                 :             :                                       col_privileges,
    1934                 :             :                                       num_col_privileges);
    1935                 :        3495 :             have_col_privileges = true;
    1936                 :             :         }
    1937                 :             : 
    1938                 :             :         /*
    1939                 :             :          * Get owner ID and working copy of existing ACL. If there's no ACL,
    1940                 :             :          * substitute the proper default.
    1941                 :             :          */
    1942                 :       11271 :         ownerId = pg_class_tuple->relowner;
    1943                 :       11271 :         aclDatum = SysCacheGetAttr(RELOID, tuple, Anum_pg_class_relacl,
    1944                 :             :                                    &isNull);
    1945         [ +  + ]:       11271 :         if (isNull)
    1946                 :             :         {
    1947      [ +  +  + ]:        5828 :             switch (pg_class_tuple->relkind)
    1948                 :             :             {
    1949                 :          62 :                 case RELKIND_SEQUENCE:
    1950                 :          62 :                     old_acl = acldefault(OBJECT_SEQUENCE, ownerId);
    1951                 :          62 :                     break;
    1952                 :          22 :                 case RELKIND_PROPGRAPH:
    1953                 :          22 :                     old_acl = acldefault(OBJECT_PROPGRAPH, ownerId);
    1954                 :          22 :                     break;
    1955                 :        5744 :                 default:
    1956                 :        5744 :                     old_acl = acldefault(OBJECT_TABLE, ownerId);
    1957                 :        5744 :                     break;
    1958                 :             :             }
    1959                 :             :             /* There are no old member roles according to the catalogs */
    1960                 :        5828 :             noldmembers = 0;
    1961                 :        5828 :             oldmembers = NULL;
    1962                 :             :         }
    1963                 :             :         else
    1964                 :             :         {
    1965                 :        5443 :             old_acl = DatumGetAclPCopy(aclDatum);
    1966                 :             :             /* Get the roles mentioned in the existing ACL */
    1967                 :        5443 :             noldmembers = aclmembers(old_acl, &oldmembers);
    1968                 :             :         }
    1969                 :             : 
    1970                 :             :         /* Need an extra copy of original rel ACL for column handling */
    1971                 :       11271 :         old_rel_acl = aclcopy(old_acl);
    1972                 :             : 
    1973                 :             :         /*
    1974                 :             :          * Handle relation-level privileges, if any were specified
    1975                 :             :          */
    1976         [ +  + ]:       11271 :         if (this_privileges != ACL_NO_RIGHTS)
    1977                 :             :         {
    1978                 :             :             AclMode     avail_goptions;
    1979                 :             :             Acl        *new_acl;
    1980                 :             :             Oid         grantorId;
    1981                 :             :             HeapTuple   newtuple;
    1982                 :       10964 :             Datum       values[Natts_pg_class] = {0};
    1983                 :       10964 :             bool        nulls[Natts_pg_class] = {0};
    1984                 :       10964 :             bool        replaces[Natts_pg_class] = {0};
    1985                 :             :             int         nnewmembers;
    1986                 :             :             Oid        *newmembers;
    1987                 :             :             ObjectType  objtype;
    1988                 :             : 
    1989                 :             :             /* Determine ID to do the grant as, and available grant options */
    1990                 :       10964 :             select_best_grantor(istmt->grantor, this_privileges,
    1991                 :             :                                 old_acl, ownerId,
    1992                 :             :                                 &grantorId, &avail_goptions);
    1993                 :             : 
    1994         [ +  + ]:       10960 :             switch (pg_class_tuple->relkind)
    1995                 :             :             {
    1996                 :         115 :                 case RELKIND_SEQUENCE:
    1997                 :         115 :                     objtype = OBJECT_SEQUENCE;
    1998                 :         115 :                     break;
    1999                 :       10845 :                 default:
    2000                 :       10845 :                     objtype = OBJECT_TABLE;
    2001                 :       10845 :                     break;
    2002                 :             :             }
    2003                 :             : 
    2004                 :             :             /*
    2005                 :             :              * Restrict the privileges to what we can actually grant, and emit
    2006                 :             :              * the standards-mandated warning and error messages.
    2007                 :             :              */
    2008                 :             :             this_privileges =
    2009                 :       10960 :                 restrict_and_check_grant(istmt->is_grant, avail_goptions,
    2010                 :       10960 :                                          istmt->all_privs, this_privileges,
    2011                 :             :                                          relOid, grantorId, objtype,
    2012                 :       10960 :                                          NameStr(pg_class_tuple->relname),
    2013                 :             :                                          0, NULL);
    2014                 :             : 
    2015                 :             :             /*
    2016                 :             :              * Generate new ACL.
    2017                 :             :              */
    2018                 :       10956 :             new_acl = merge_acl_with_grant(old_acl,
    2019                 :       10956 :                                            istmt->is_grant,
    2020                 :       10956 :                                            istmt->grant_option,
    2021                 :             :                                            istmt->behavior,
    2022                 :             :                                            istmt->grantees,
    2023                 :             :                                            this_privileges,
    2024                 :             :                                            grantorId,
    2025                 :             :                                            ownerId);
    2026                 :             : 
    2027                 :             :             /*
    2028                 :             :              * We need the members of both old and new ACLs so we can correct
    2029                 :             :              * the shared dependency information.
    2030                 :             :              */
    2031                 :       10952 :             nnewmembers = aclmembers(new_acl, &newmembers);
    2032                 :             : 
    2033                 :             :             /* finished building new ACL value, now insert it */
    2034                 :       10952 :             replaces[Anum_pg_class_relacl - 1] = true;
    2035                 :       10952 :             values[Anum_pg_class_relacl - 1] = PointerGetDatum(new_acl);
    2036                 :             : 
    2037                 :       10952 :             newtuple = heap_modify_tuple(tuple, RelationGetDescr(relation),
    2038                 :             :                                          values, nulls, replaces);
    2039                 :             : 
    2040                 :       10952 :             CatalogTupleUpdate(relation, &newtuple->t_self, newtuple);
    2041                 :       10950 :             UnlockTuple(relation, &tuple->t_self, InplaceUpdateTupleLock);
    2042                 :             : 
    2043                 :             :             /* Update initial privileges for extensions */
    2044                 :       10950 :             recordExtensionInitPriv(relOid, RelationRelationId, 0, new_acl);
    2045                 :             : 
    2046                 :             :             /* Update the shared dependency ACL info */
    2047                 :       10950 :             updateAclDependencies(RelationRelationId, relOid, 0,
    2048                 :             :                                   ownerId,
    2049                 :             :                                   noldmembers, oldmembers,
    2050                 :             :                                   nnewmembers, newmembers);
    2051                 :             : 
    2052                 :       10950 :             pfree(new_acl);
    2053                 :             :         }
    2054                 :             :         else
    2055                 :         307 :             UnlockTuple(relation, &tuple->t_self, InplaceUpdateTupleLock);
    2056                 :             : 
    2057                 :             :         /*
    2058                 :             :          * Handle column-level privileges, if any were specified or implied.
    2059                 :             :          * We first expand the user-specified column privileges into the
    2060                 :             :          * array, and then iterate over all nonempty array entries.
    2061                 :             :          */
    2062   [ +  +  +  +  :       11576 :         foreach(cell_colprivs, istmt->col_privs)
                   +  + ]
    2063                 :             :         {
    2064                 :         319 :             AccessPriv *col_privs = (AccessPriv *) lfirst(cell_colprivs);
    2065                 :             : 
    2066         [ +  + ]:         319 :             if (col_privs->priv_name == NULL)
    2067                 :          12 :                 this_privileges = ACL_ALL_RIGHTS_COLUMN;
    2068                 :             :             else
    2069                 :         307 :                 this_privileges = string_to_privilege(col_privs->priv_name);
    2070                 :             : 
    2071         [ -  + ]:         319 :             if (this_privileges & ~((AclMode) ACL_ALL_RIGHTS_COLUMN))
    2072         [ #  # ]:           0 :                 ereport(ERROR,
    2073                 :             :                         (errcode(ERRCODE_INVALID_GRANT_OPERATION),
    2074                 :             :                          errmsg("invalid privilege type %s for column",
    2075                 :             :                                 privilege_to_string(this_privileges))));
    2076                 :             : 
    2077         [ -  + ]:         319 :             if (pg_class_tuple->relkind == RELKIND_SEQUENCE &&
    2078         [ #  # ]:           0 :                 this_privileges & ~((AclMode) ACL_SELECT))
    2079                 :             :             {
    2080                 :             :                 /*
    2081                 :             :                  * The only column privilege allowed on sequences is SELECT.
    2082                 :             :                  * This is a warning not error because we do it that way for
    2083                 :             :                  * relation-level privileges.
    2084                 :             :                  */
    2085         [ #  # ]:           0 :                 ereport(WARNING,
    2086                 :             :                         (errcode(ERRCODE_INVALID_GRANT_OPERATION),
    2087                 :             :                          errmsg("sequence \"%s\" only supports SELECT column privileges",
    2088                 :             :                                 NameStr(pg_class_tuple->relname))));
    2089                 :             : 
    2090                 :           0 :                 this_privileges &= (AclMode) ACL_SELECT;
    2091                 :             :             }
    2092                 :             : 
    2093                 :         319 :             expand_col_privileges(col_privs->cols, relOid,
    2094                 :             :                                   this_privileges,
    2095                 :             :                                   col_privileges,
    2096                 :             :                                   num_col_privileges);
    2097                 :         319 :             have_col_privileges = true;
    2098                 :             :         }
    2099                 :             : 
    2100         [ +  + ]:       11257 :         if (have_col_privileges)
    2101                 :             :         {
    2102                 :             :             AttrNumber  i;
    2103                 :             : 
    2104         [ +  + ]:       45858 :             for (i = 0; i < num_col_privileges; i++)
    2105                 :             :             {
    2106         [ +  + ]:       42056 :                 if (col_privileges[i] == ACL_NO_RIGHTS)
    2107                 :       13819 :                     continue;
    2108                 :       28237 :                 ExecGrant_Attribute(istmt,
    2109                 :             :                                     relOid,
    2110                 :       28237 :                                     NameStr(pg_class_tuple->relname),
    2111                 :       28237 :                                     i + FirstLowInvalidHeapAttributeNumber,
    2112                 :             :                                     ownerId,
    2113                 :       28237 :                                     col_privileges[i],
    2114                 :             :                                     attRelation,
    2115                 :             :                                     old_rel_acl);
    2116                 :             :             }
    2117                 :             :         }
    2118                 :             : 
    2119                 :       11257 :         pfree(old_rel_acl);
    2120                 :       11257 :         pfree(col_privileges);
    2121                 :             : 
    2122                 :       11257 :         ReleaseSysCache(tuple);
    2123                 :             : 
    2124                 :             :         /* prevent error when processing duplicate objects */
    2125                 :       11257 :         CommandCounterIncrement();
    2126                 :             :     }
    2127                 :             : 
    2128                 :       11210 :     table_close(attRelation, RowExclusiveLock);
    2129                 :       11210 :     table_close(relation, RowExclusiveLock);
    2130                 :       11210 : }
    2131                 :             : 
    2132                 :             : static void
    2133                 :        1405 : ExecGrant_common(InternalGrant *istmt, Oid classid, AclMode default_privs,
    2134                 :             :                  void (*object_check) (InternalGrant *istmt, HeapTuple tuple))
    2135                 :             : {
    2136                 :             :     SysCacheIdentifier cacheid;
    2137                 :             :     Relation    relation;
    2138                 :             :     ListCell   *cell;
    2139                 :             : 
    2140   [ +  +  +  - ]:        1405 :     if (istmt->all_privs && istmt->privileges == ACL_NO_RIGHTS)
    2141                 :         473 :         istmt->privileges = default_privs;
    2142                 :             : 
    2143                 :        1405 :     cacheid = get_object_catcache_oid(classid);
    2144                 :             : 
    2145                 :        1405 :     relation = table_open(classid, RowExclusiveLock);
    2146                 :             : 
    2147   [ +  -  +  +  :        2873 :     foreach(cell, istmt->objects)
                   +  + ]
    2148                 :             :     {
    2149                 :        1504 :         Oid         objectid = lfirst_oid(cell);
    2150                 :             :         Datum       aclDatum;
    2151                 :             :         Datum       nameDatum;
    2152                 :             :         bool        isNull;
    2153                 :             :         AclMode     avail_goptions;
    2154                 :             :         AclMode     this_privileges;
    2155                 :             :         Acl        *old_acl;
    2156                 :             :         Acl        *new_acl;
    2157                 :             :         Oid         grantorId;
    2158                 :             :         Oid         ownerId;
    2159                 :             :         HeapTuple   tuple;
    2160                 :             :         HeapTuple   newtuple;
    2161                 :        1504 :         Datum      *values = palloc0_array(Datum, RelationGetDescr(relation)->natts);
    2162                 :        1504 :         bool       *nulls = palloc0_array(bool, RelationGetDescr(relation)->natts);
    2163                 :        1504 :         bool       *replaces = palloc0_array(bool, RelationGetDescr(relation)->natts);
    2164                 :             :         int         noldmembers;
    2165                 :             :         int         nnewmembers;
    2166                 :             :         Oid        *oldmembers;
    2167                 :             :         Oid        *newmembers;
    2168                 :             : 
    2169                 :        1504 :         tuple = SearchSysCacheLocked1(cacheid, ObjectIdGetDatum(objectid));
    2170         [ -  + ]:        1504 :         if (!HeapTupleIsValid(tuple))
    2171         [ #  # ]:           0 :             elog(ERROR, "cache lookup failed for %s %u", get_object_class_descr(classid), objectid);
    2172                 :             : 
    2173                 :             :         /*
    2174                 :             :          * Additional object-type-specific checks
    2175                 :             :          */
    2176         [ +  + ]:        1504 :         if (object_check)
    2177                 :         119 :             object_check(istmt, tuple);
    2178                 :             : 
    2179                 :             :         /*
    2180                 :             :          * Get owner ID and working copy of existing ACL. If there's no ACL,
    2181                 :             :          * substitute the proper default.
    2182                 :             :          */
    2183                 :        1492 :         ownerId = DatumGetObjectId(SysCacheGetAttrNotNull(cacheid,
    2184                 :             :                                                           tuple,
    2185                 :        1492 :                                                           get_object_attnum_owner(classid)));
    2186                 :        1492 :         aclDatum = SysCacheGetAttr(cacheid,
    2187                 :             :                                    tuple,
    2188                 :        1492 :                                    get_object_attnum_acl(classid),
    2189                 :             :                                    &isNull);
    2190         [ +  + ]:        1492 :         if (isNull)
    2191                 :             :         {
    2192                 :         905 :             old_acl = acldefault(get_object_type(classid, objectid), ownerId);
    2193                 :             :             /* There are no old member roles according to the catalogs */
    2194                 :         905 :             noldmembers = 0;
    2195                 :         905 :             oldmembers = NULL;
    2196                 :             :         }
    2197                 :             :         else
    2198                 :             :         {
    2199                 :         587 :             old_acl = DatumGetAclPCopy(aclDatum);
    2200                 :             :             /* Get the roles mentioned in the existing ACL */
    2201                 :         587 :             noldmembers = aclmembers(old_acl, &oldmembers);
    2202                 :             :         }
    2203                 :             : 
    2204                 :             :         /* Determine ID to do the grant as, and available grant options */
    2205                 :        1492 :         select_best_grantor(istmt->grantor, istmt->privileges,
    2206                 :             :                             old_acl, ownerId,
    2207                 :             :                             &grantorId, &avail_goptions);
    2208                 :             : 
    2209                 :        1492 :         nameDatum = SysCacheGetAttrNotNull(cacheid, tuple,
    2210                 :        1492 :                                            get_object_attnum_name(classid));
    2211                 :             : 
    2212                 :             :         /*
    2213                 :             :          * Restrict the privileges to what we can actually grant, and emit the
    2214                 :             :          * standards-mandated warning and error messages.
    2215                 :             :          */
    2216                 :             :         this_privileges =
    2217                 :        2984 :             restrict_and_check_grant(istmt->is_grant, avail_goptions,
    2218                 :        1492 :                                      istmt->all_privs, istmt->privileges,
    2219                 :             :                                      objectid, grantorId, get_object_type(classid, objectid),
    2220                 :        1492 :                                      NameStr(*DatumGetName(nameDatum)),
    2221                 :             :                                      0, NULL);
    2222                 :             : 
    2223                 :             :         /*
    2224                 :             :          * Generate new ACL.
    2225                 :             :          */
    2226                 :        1472 :         new_acl = merge_acl_with_grant(old_acl, istmt->is_grant,
    2227                 :        1472 :                                        istmt->grant_option, istmt->behavior,
    2228                 :             :                                        istmt->grantees, this_privileges,
    2229                 :             :                                        grantorId, ownerId);
    2230                 :             : 
    2231                 :             :         /*
    2232                 :             :          * We need the members of both old and new ACLs so we can correct the
    2233                 :             :          * shared dependency information.
    2234                 :             :          */
    2235                 :        1468 :         nnewmembers = aclmembers(new_acl, &newmembers);
    2236                 :             : 
    2237                 :             :         /* finished building new ACL value, now insert it */
    2238                 :        1468 :         replaces[get_object_attnum_acl(classid) - 1] = true;
    2239                 :        1468 :         values[get_object_attnum_acl(classid) - 1] = PointerGetDatum(new_acl);
    2240                 :             : 
    2241                 :        1468 :         newtuple = heap_modify_tuple(tuple, RelationGetDescr(relation), values,
    2242                 :             :                                      nulls, replaces);
    2243                 :             : 
    2244                 :        1468 :         CatalogTupleUpdate(relation, &newtuple->t_self, newtuple);
    2245                 :        1468 :         UnlockTuple(relation, &tuple->t_self, InplaceUpdateTupleLock);
    2246                 :             : 
    2247                 :             :         /* Update initial privileges for extensions */
    2248                 :        1468 :         recordExtensionInitPriv(objectid, classid, 0, new_acl);
    2249                 :             : 
    2250                 :             :         /* Update the shared dependency ACL info */
    2251                 :        1468 :         updateAclDependencies(classid,
    2252                 :             :                               objectid, 0,
    2253                 :             :                               ownerId,
    2254                 :             :                               noldmembers, oldmembers,
    2255                 :             :                               nnewmembers, newmembers);
    2256                 :             : 
    2257                 :        1468 :         ReleaseSysCache(tuple);
    2258                 :             : 
    2259                 :        1468 :         pfree(new_acl);
    2260                 :             : 
    2261                 :             :         /* prevent error when processing duplicate objects */
    2262                 :        1468 :         CommandCounterIncrement();
    2263                 :             :     }
    2264                 :             : 
    2265                 :        1369 :     table_close(relation, RowExclusiveLock);
    2266                 :        1369 : }
    2267                 :             : 
    2268                 :             : static void
    2269                 :          27 : ExecGrant_Language_check(InternalGrant *istmt, HeapTuple tuple)
    2270                 :             : {
    2271                 :             :     Form_pg_language pg_language_tuple;
    2272                 :             : 
    2273                 :          27 :     pg_language_tuple = (Form_pg_language) GETSTRUCT(tuple);
    2274                 :             : 
    2275         [ +  + ]:          27 :     if (!pg_language_tuple->lanpltrusted)
    2276         [ +  - ]:           4 :         ereport(ERROR,
    2277                 :             :                 (errcode(ERRCODE_WRONG_OBJECT_TYPE),
    2278                 :             :                  errmsg("language \"%s\" is not trusted",
    2279                 :             :                         NameStr(pg_language_tuple->lanname)),
    2280                 :             :                  errdetail("GRANT and REVOKE are not allowed on untrusted languages, "
    2281                 :             :                            "because only superusers can use untrusted languages.")));
    2282                 :          23 : }
    2283                 :             : 
    2284                 :             : static void
    2285                 :          58 : ExecGrant_Largeobject(InternalGrant *istmt)
    2286                 :             : {
    2287                 :             :     Relation    relation;
    2288                 :             :     ListCell   *cell;
    2289                 :             : 
    2290   [ +  +  +  - ]:          58 :     if (istmt->all_privs && istmt->privileges == ACL_NO_RIGHTS)
    2291                 :          29 :         istmt->privileges = ACL_ALL_RIGHTS_LARGEOBJECT;
    2292                 :             : 
    2293                 :          58 :     relation = table_open(LargeObjectMetadataRelationId,
    2294                 :             :                           RowExclusiveLock);
    2295                 :             : 
    2296   [ +  -  +  +  :         120 :     foreach(cell, istmt->objects)
                   +  + ]
    2297                 :             :     {
    2298                 :          62 :         Oid         loid = lfirst_oid(cell);
    2299                 :             :         Form_pg_largeobject_metadata form_lo_meta;
    2300                 :             :         char        loname[NAMEDATALEN];
    2301                 :             :         Datum       aclDatum;
    2302                 :             :         bool        isNull;
    2303                 :             :         AclMode     avail_goptions;
    2304                 :             :         AclMode     this_privileges;
    2305                 :             :         Acl        *old_acl;
    2306                 :             :         Acl        *new_acl;
    2307                 :             :         Oid         grantorId;
    2308                 :             :         Oid         ownerId;
    2309                 :             :         HeapTuple   newtuple;
    2310                 :          62 :         Datum       values[Natts_pg_largeobject_metadata] = {0};
    2311                 :          62 :         bool        nulls[Natts_pg_largeobject_metadata] = {0};
    2312                 :          62 :         bool        replaces[Natts_pg_largeobject_metadata] = {0};
    2313                 :             :         int         noldmembers;
    2314                 :             :         int         nnewmembers;
    2315                 :             :         Oid        *oldmembers;
    2316                 :             :         Oid        *newmembers;
    2317                 :             :         ScanKeyData entry[1];
    2318                 :             :         SysScanDesc scan;
    2319                 :             :         HeapTuple   tuple;
    2320                 :             : 
    2321                 :             :         /* There's no syscache for pg_largeobject_metadata */
    2322                 :          62 :         ScanKeyInit(&entry[0],
    2323                 :             :                     Anum_pg_largeobject_metadata_oid,
    2324                 :             :                     BTEqualStrategyNumber, F_OIDEQ,
    2325                 :             :                     ObjectIdGetDatum(loid));
    2326                 :             : 
    2327                 :          62 :         scan = systable_beginscan(relation,
    2328                 :             :                                   LargeObjectMetadataOidIndexId, true,
    2329                 :             :                                   NULL, 1, entry);
    2330                 :             : 
    2331                 :          62 :         tuple = systable_getnext(scan);
    2332         [ -  + ]:          62 :         if (!HeapTupleIsValid(tuple))
    2333         [ #  # ]:           0 :             elog(ERROR, "could not find tuple for large object %u", loid);
    2334                 :             : 
    2335                 :          62 :         form_lo_meta = (Form_pg_largeobject_metadata) GETSTRUCT(tuple);
    2336                 :             : 
    2337                 :             :         /*
    2338                 :             :          * Get owner ID and working copy of existing ACL. If there's no ACL,
    2339                 :             :          * substitute the proper default.
    2340                 :             :          */
    2341                 :          62 :         ownerId = form_lo_meta->lomowner;
    2342                 :          62 :         aclDatum = heap_getattr(tuple,
    2343                 :             :                                 Anum_pg_largeobject_metadata_lomacl,
    2344                 :             :                                 RelationGetDescr(relation), &isNull);
    2345         [ +  + ]:          62 :         if (isNull)
    2346                 :             :         {
    2347                 :          38 :             old_acl = acldefault(OBJECT_LARGEOBJECT, ownerId);
    2348                 :             :             /* There are no old member roles according to the catalogs */
    2349                 :          38 :             noldmembers = 0;
    2350                 :          38 :             oldmembers = NULL;
    2351                 :             :         }
    2352                 :             :         else
    2353                 :             :         {
    2354                 :          24 :             old_acl = DatumGetAclPCopy(aclDatum);
    2355                 :             :             /* Get the roles mentioned in the existing ACL */
    2356                 :          24 :             noldmembers = aclmembers(old_acl, &oldmembers);
    2357                 :             :         }
    2358                 :             : 
    2359                 :             :         /* Determine ID to do the grant as, and available grant options */
    2360                 :          62 :         select_best_grantor(istmt->grantor, istmt->privileges,
    2361                 :             :                             old_acl, ownerId,
    2362                 :             :                             &grantorId, &avail_goptions);
    2363                 :             : 
    2364                 :             :         /*
    2365                 :             :          * Restrict the privileges to what we can actually grant, and emit the
    2366                 :             :          * standards-mandated warning and error messages.
    2367                 :             :          */
    2368                 :          62 :         snprintf(loname, sizeof(loname), "large object %u", loid);
    2369                 :             :         this_privileges =
    2370                 :          62 :             restrict_and_check_grant(istmt->is_grant, avail_goptions,
    2371                 :          62 :                                      istmt->all_privs, istmt->privileges,
    2372                 :             :                                      loid, grantorId, OBJECT_LARGEOBJECT,
    2373                 :             :                                      loname, 0, NULL);
    2374                 :             : 
    2375                 :             :         /*
    2376                 :             :          * Generate new ACL.
    2377                 :             :          */
    2378                 :          62 :         new_acl = merge_acl_with_grant(old_acl, istmt->is_grant,
    2379                 :          62 :                                        istmt->grant_option, istmt->behavior,
    2380                 :             :                                        istmt->grantees, this_privileges,
    2381                 :             :                                        grantorId, ownerId);
    2382                 :             : 
    2383                 :             :         /*
    2384                 :             :          * We need the members of both old and new ACLs so we can correct the
    2385                 :             :          * shared dependency information.
    2386                 :             :          */
    2387                 :          62 :         nnewmembers = aclmembers(new_acl, &newmembers);
    2388                 :             : 
    2389                 :             :         /* finished building new ACL value, now insert it */
    2390                 :          62 :         replaces[Anum_pg_largeobject_metadata_lomacl - 1] = true;
    2391                 :             :         values[Anum_pg_largeobject_metadata_lomacl - 1]
    2392                 :          62 :             = PointerGetDatum(new_acl);
    2393                 :             : 
    2394                 :          62 :         newtuple = heap_modify_tuple(tuple, RelationGetDescr(relation),
    2395                 :             :                                      values, nulls, replaces);
    2396                 :             : 
    2397                 :          62 :         CatalogTupleUpdate(relation, &newtuple->t_self, newtuple);
    2398                 :             : 
    2399                 :             :         /* Update initial privileges for extensions */
    2400                 :          62 :         recordExtensionInitPriv(loid, LargeObjectRelationId, 0, new_acl);
    2401                 :             : 
    2402                 :             :         /* Update the shared dependency ACL info */
    2403                 :          62 :         updateAclDependencies(LargeObjectRelationId,
    2404                 :             :                               form_lo_meta->oid, 0,
    2405                 :             :                               ownerId,
    2406                 :             :                               noldmembers, oldmembers,
    2407                 :             :                               nnewmembers, newmembers);
    2408                 :             : 
    2409                 :          62 :         systable_endscan(scan);
    2410                 :             : 
    2411                 :          62 :         pfree(new_acl);
    2412                 :             : 
    2413                 :             :         /* prevent error when processing duplicate objects */
    2414                 :          62 :         CommandCounterIncrement();
    2415                 :             :     }
    2416                 :             : 
    2417                 :          58 :     table_close(relation, RowExclusiveLock);
    2418                 :          58 : }
    2419                 :             : 
    2420                 :             : static void
    2421                 :          92 : ExecGrant_Type_check(InternalGrant *istmt, HeapTuple tuple)
    2422                 :             : {
    2423                 :             :     Form_pg_type pg_type_tuple;
    2424                 :             : 
    2425                 :          92 :     pg_type_tuple = (Form_pg_type) GETSTRUCT(tuple);
    2426                 :             : 
    2427                 :             :     /* Disallow GRANT on dependent types */
    2428   [ +  +  +  - ]:          92 :     if (IsTrueArrayType(pg_type_tuple))
    2429         [ +  - ]:           4 :         ereport(ERROR,
    2430                 :             :                 (errcode(ERRCODE_INVALID_GRANT_OPERATION),
    2431                 :             :                  errmsg("cannot set privileges of array types"),
    2432                 :             :                  errhint("Set the privileges of the element type instead.")));
    2433         [ +  + ]:          88 :     if (pg_type_tuple->typtype == TYPTYPE_MULTIRANGE)
    2434         [ +  - ]:           4 :         ereport(ERROR,
    2435                 :             :                 (errcode(ERRCODE_INVALID_GRANT_OPERATION),
    2436                 :             :                  errmsg("cannot set privileges of multirange types"),
    2437                 :             :                  errhint("Set the privileges of the range type instead.")));
    2438                 :          84 : }
    2439                 :             : 
    2440                 :             : static void
    2441                 :          48 : ExecGrant_Parameter(InternalGrant *istmt)
    2442                 :             : {
    2443                 :             :     Relation    relation;
    2444                 :             :     ListCell   *cell;
    2445                 :             : 
    2446   [ +  +  +  - ]:          48 :     if (istmt->all_privs && istmt->privileges == ACL_NO_RIGHTS)
    2447                 :          21 :         istmt->privileges = ACL_ALL_RIGHTS_PARAMETER_ACL;
    2448                 :             : 
    2449                 :          48 :     relation = table_open(ParameterAclRelationId, RowExclusiveLock);
    2450                 :             : 
    2451   [ +  +  +  +  :         115 :     foreach(cell, istmt->objects)
                   +  + ]
    2452                 :             :     {
    2453                 :          67 :         Oid         parameterId = lfirst_oid(cell);
    2454                 :             :         Datum       nameDatum;
    2455                 :             :         const char *parname;
    2456                 :             :         Datum       aclDatum;
    2457                 :             :         bool        isNull;
    2458                 :             :         AclMode     avail_goptions;
    2459                 :             :         AclMode     this_privileges;
    2460                 :             :         Acl        *old_acl;
    2461                 :             :         Acl        *new_acl;
    2462                 :             :         Oid         grantorId;
    2463                 :             :         Oid         ownerId;
    2464                 :             :         HeapTuple   tuple;
    2465                 :             :         int         noldmembers;
    2466                 :             :         int         nnewmembers;
    2467                 :             :         Oid        *oldmembers;
    2468                 :             :         Oid        *newmembers;
    2469                 :             : 
    2470                 :          67 :         tuple = SearchSysCache1(PARAMETERACLOID, ObjectIdGetDatum(parameterId));
    2471         [ -  + ]:          67 :         if (!HeapTupleIsValid(tuple))
    2472         [ #  # ]:           0 :             elog(ERROR, "cache lookup failed for parameter ACL %u",
    2473                 :             :                  parameterId);
    2474                 :             : 
    2475                 :             :         /* We'll need the GUC's name */
    2476                 :          67 :         nameDatum = SysCacheGetAttrNotNull(PARAMETERACLOID, tuple,
    2477                 :             :                                            Anum_pg_parameter_acl_parname);
    2478                 :          67 :         parname = TextDatumGetCString(nameDatum);
    2479                 :             : 
    2480                 :             :         /* Treat all parameters as belonging to the bootstrap superuser. */
    2481                 :          67 :         ownerId = BOOTSTRAP_SUPERUSERID;
    2482                 :             : 
    2483                 :             :         /*
    2484                 :             :          * Get working copy of existing ACL. If there's no ACL, substitute the
    2485                 :             :          * proper default.
    2486                 :             :          */
    2487                 :          67 :         aclDatum = SysCacheGetAttr(PARAMETERACLOID, tuple,
    2488                 :             :                                    Anum_pg_parameter_acl_paracl,
    2489                 :             :                                    &isNull);
    2490                 :             : 
    2491         [ +  + ]:          67 :         if (isNull)
    2492                 :             :         {
    2493                 :          33 :             old_acl = acldefault(istmt->objtype, ownerId);
    2494                 :             :             /* There are no old member roles according to the catalogs */
    2495                 :          33 :             noldmembers = 0;
    2496                 :          33 :             oldmembers = NULL;
    2497                 :             :         }
    2498                 :             :         else
    2499                 :             :         {
    2500                 :          34 :             old_acl = DatumGetAclPCopy(aclDatum);
    2501                 :             :             /* Get the roles mentioned in the existing ACL */
    2502                 :          34 :             noldmembers = aclmembers(old_acl, &oldmembers);
    2503                 :             :         }
    2504                 :             : 
    2505                 :             :         /* Determine ID to do the grant as, and available grant options */
    2506                 :          67 :         select_best_grantor(istmt->grantor, istmt->privileges,
    2507                 :             :                             old_acl, ownerId,
    2508                 :             :                             &grantorId, &avail_goptions);
    2509                 :             : 
    2510                 :             :         /*
    2511                 :             :          * Restrict the privileges to what we can actually grant, and emit the
    2512                 :             :          * standards-mandated warning and error messages.
    2513                 :             :          */
    2514                 :             :         this_privileges =
    2515                 :          67 :             restrict_and_check_grant(istmt->is_grant, avail_goptions,
    2516                 :          67 :                                      istmt->all_privs, istmt->privileges,
    2517                 :             :                                      parameterId, grantorId,
    2518                 :             :                                      OBJECT_PARAMETER_ACL,
    2519                 :             :                                      parname,
    2520                 :             :                                      0, NULL);
    2521                 :             : 
    2522                 :             :         /*
    2523                 :             :          * Generate new ACL.
    2524                 :             :          */
    2525                 :          67 :         new_acl = merge_acl_with_grant(old_acl, istmt->is_grant,
    2526                 :          67 :                                        istmt->grant_option, istmt->behavior,
    2527                 :             :                                        istmt->grantees, this_privileges,
    2528                 :             :                                        grantorId, ownerId);
    2529                 :             : 
    2530                 :             :         /*
    2531                 :             :          * We need the members of both old and new ACLs so we can correct the
    2532                 :             :          * shared dependency information.
    2533                 :             :          */
    2534                 :          67 :         nnewmembers = aclmembers(new_acl, &newmembers);
    2535                 :             : 
    2536                 :             :         /*
    2537                 :             :          * If the new ACL is equal to the default, we don't need the catalog
    2538                 :             :          * entry any longer.  Delete it rather than updating it, to avoid
    2539                 :             :          * leaving a degenerate entry.
    2540                 :             :          */
    2541         [ +  + ]:          67 :         if (aclequal(new_acl, acldefault(istmt->objtype, ownerId)))
    2542                 :             :         {
    2543                 :          29 :             CatalogTupleDelete(relation, &tuple->t_self);
    2544                 :             :         }
    2545                 :             :         else
    2546                 :             :         {
    2547                 :             :             /* finished building new ACL value, now insert it */
    2548                 :             :             HeapTuple   newtuple;
    2549                 :          38 :             Datum       values[Natts_pg_parameter_acl] = {0};
    2550                 :          38 :             bool        nulls[Natts_pg_parameter_acl] = {0};
    2551                 :          38 :             bool        replaces[Natts_pg_parameter_acl] = {0};
    2552                 :             : 
    2553                 :          38 :             replaces[Anum_pg_parameter_acl_paracl - 1] = true;
    2554                 :          38 :             values[Anum_pg_parameter_acl_paracl - 1] = PointerGetDatum(new_acl);
    2555                 :             : 
    2556                 :          38 :             newtuple = heap_modify_tuple(tuple, RelationGetDescr(relation),
    2557                 :             :                                          values, nulls, replaces);
    2558                 :             : 
    2559                 :          38 :             CatalogTupleUpdate(relation, &newtuple->t_self, newtuple);
    2560                 :             :         }
    2561                 :             : 
    2562                 :             :         /* Update initial privileges for extensions */
    2563                 :          67 :         recordExtensionInitPriv(parameterId, ParameterAclRelationId, 0,
    2564                 :             :                                 new_acl);
    2565                 :             : 
    2566                 :             :         /* Update the shared dependency ACL info */
    2567                 :          67 :         updateAclDependencies(ParameterAclRelationId, parameterId, 0,
    2568                 :             :                               ownerId,
    2569                 :             :                               noldmembers, oldmembers,
    2570                 :             :                               nnewmembers, newmembers);
    2571                 :             : 
    2572                 :          67 :         ReleaseSysCache(tuple);
    2573                 :          67 :         pfree(new_acl);
    2574                 :             : 
    2575                 :             :         /* prevent error when processing duplicate objects */
    2576                 :          67 :         CommandCounterIncrement();
    2577                 :             :     }
    2578                 :             : 
    2579                 :          48 :     table_close(relation, RowExclusiveLock);
    2580                 :          48 : }
    2581                 :             : 
    2582                 :             : 
    2583                 :             : static AclMode
    2584                 :       11428 : string_to_privilege(const char *privname)
    2585                 :             : {
    2586         [ +  + ]:       11428 :     if (strcmp(privname, "insert") == 0)
    2587                 :         160 :         return ACL_INSERT;
    2588         [ +  + ]:       11268 :     if (strcmp(privname, "select") == 0)
    2589                 :        9627 :         return ACL_SELECT;
    2590         [ +  + ]:        1641 :     if (strcmp(privname, "update") == 0)
    2591                 :         305 :         return ACL_UPDATE;
    2592         [ +  + ]:        1336 :     if (strcmp(privname, "delete") == 0)
    2593                 :          91 :         return ACL_DELETE;
    2594         [ +  + ]:        1245 :     if (strcmp(privname, "truncate") == 0)
    2595                 :          29 :         return ACL_TRUNCATE;
    2596         [ +  + ]:        1216 :     if (strcmp(privname, "references") == 0)
    2597                 :           9 :         return ACL_REFERENCES;
    2598         [ +  + ]:        1207 :     if (strcmp(privname, "trigger") == 0)
    2599                 :           5 :         return ACL_TRIGGER;
    2600         [ +  + ]:        1202 :     if (strcmp(privname, "execute") == 0)
    2601                 :         263 :         return ACL_EXECUTE;
    2602         [ +  + ]:         939 :     if (strcmp(privname, "usage") == 0)
    2603                 :         518 :         return ACL_USAGE;
    2604         [ +  + ]:         421 :     if (strcmp(privname, "create") == 0)
    2605                 :         204 :         return ACL_CREATE;
    2606         [ +  + ]:         217 :     if (strcmp(privname, "temporary") == 0)
    2607                 :         120 :         return ACL_CREATE_TEMP;
    2608         [ +  + ]:          97 :     if (strcmp(privname, "temp") == 0)
    2609                 :           1 :         return ACL_CREATE_TEMP;
    2610         [ +  + ]:          96 :     if (strcmp(privname, "connect") == 0)
    2611                 :          23 :         return ACL_CONNECT;
    2612         [ +  + ]:          73 :     if (strcmp(privname, "set") == 0)
    2613                 :          24 :         return ACL_SET;
    2614         [ +  + ]:          49 :     if (strcmp(privname, "alter system") == 0)
    2615                 :          12 :         return ACL_ALTER_SYSTEM;
    2616         [ +  - ]:          37 :     if (strcmp(privname, "maintain") == 0)
    2617                 :          37 :         return ACL_MAINTAIN;
    2618         [ #  # ]:           0 :     ereport(ERROR,
    2619                 :             :             (errcode(ERRCODE_SYNTAX_ERROR),
    2620                 :             :              errmsg("unrecognized privilege type \"%s\"", privname)));
    2621                 :             :     return 0;                   /* appease compiler */
    2622                 :             : }
    2623                 :             : 
    2624                 :             : static const char *
    2625                 :          20 : privilege_to_string(AclMode privilege)
    2626                 :             : {
    2627   [ +  -  +  -  :          20 :     switch (privilege)
          -  -  -  -  +  
          -  -  -  -  -  
                   -  - ]
    2628                 :             :     {
    2629                 :           4 :         case ACL_INSERT:
    2630                 :           4 :             return "INSERT";
    2631                 :           0 :         case ACL_SELECT:
    2632                 :           0 :             return "SELECT";
    2633                 :           4 :         case ACL_UPDATE:
    2634                 :           4 :             return "UPDATE";
    2635                 :           0 :         case ACL_DELETE:
    2636                 :           0 :             return "DELETE";
    2637                 :           0 :         case ACL_TRUNCATE:
    2638                 :           0 :             return "TRUNCATE";
    2639                 :           0 :         case ACL_REFERENCES:
    2640                 :           0 :             return "REFERENCES";
    2641                 :           0 :         case ACL_TRIGGER:
    2642                 :           0 :             return "TRIGGER";
    2643                 :           0 :         case ACL_EXECUTE:
    2644                 :           0 :             return "EXECUTE";
    2645                 :          12 :         case ACL_USAGE:
    2646                 :          12 :             return "USAGE";
    2647                 :           0 :         case ACL_CREATE:
    2648                 :           0 :             return "CREATE";
    2649                 :           0 :         case ACL_CREATE_TEMP:
    2650                 :           0 :             return "TEMP";
    2651                 :           0 :         case ACL_CONNECT:
    2652                 :           0 :             return "CONNECT";
    2653                 :           0 :         case ACL_SET:
    2654                 :           0 :             return "SET";
    2655                 :           0 :         case ACL_ALTER_SYSTEM:
    2656                 :           0 :             return "ALTER SYSTEM";
    2657                 :           0 :         case ACL_MAINTAIN:
    2658                 :           0 :             return "MAINTAIN";
    2659                 :           0 :         default:
    2660         [ #  # ]:           0 :             elog(ERROR, "unrecognized privilege: %d", (int) privilege);
    2661                 :             :     }
    2662                 :             :     return NULL;                /* appease compiler */
    2663                 :             : }
    2664                 :             : 
    2665                 :             : /*
    2666                 :             :  * Standardized reporting of aclcheck permissions failures.
    2667                 :             :  *
    2668                 :             :  * Note: we do not double-quote the %s's below, because many callers
    2669                 :             :  * supply strings that might be already quoted.
    2670                 :             :  */
    2671                 :             : void
    2672                 :        1932 : aclcheck_error(AclResult aclerr, ObjectType objtype,
    2673                 :             :                const char *objectname)
    2674                 :             : {
    2675   [ -  +  +  - ]:        1932 :     switch (aclerr)
    2676                 :             :     {
    2677                 :           0 :         case ACLCHECK_OK:
    2678                 :             :             /* no error, so return to caller */
    2679                 :           0 :             break;
    2680                 :        1558 :         case ACLCHECK_NO_PRIV:
    2681                 :             :             {
    2682                 :        1558 :                 const char *msg = "???";
    2683                 :             : 
    2684   [ +  -  -  -  :        1558 :                 switch (objtype)
          +  -  -  -  +  
          +  +  +  +  +  
          -  +  -  -  -  
          -  -  +  +  -  
          -  +  -  -  -  
          +  +  -  -  +  
                +  -  - ]
    2685                 :             :                 {
    2686                 :           4 :                     case OBJECT_AGGREGATE:
    2687                 :           4 :                         msg = gettext_noop("permission denied for aggregate %s");
    2688                 :           4 :                         break;
    2689                 :           0 :                     case OBJECT_COLLATION:
    2690                 :           0 :                         msg = gettext_noop("permission denied for collation %s");
    2691                 :           0 :                         break;
    2692                 :           0 :                     case OBJECT_COLUMN:
    2693                 :           0 :                         msg = gettext_noop("permission denied for column %s");
    2694                 :           0 :                         break;
    2695                 :           0 :                     case OBJECT_CONVERSION:
    2696                 :           0 :                         msg = gettext_noop("permission denied for conversion %s");
    2697                 :           0 :                         break;
    2698                 :          13 :                     case OBJECT_DATABASE:
    2699                 :          13 :                         msg = gettext_noop("permission denied for database %s");
    2700                 :          13 :                         break;
    2701                 :           0 :                     case OBJECT_DOMAIN:
    2702                 :           0 :                         msg = gettext_noop("permission denied for domain %s");
    2703                 :           0 :                         break;
    2704                 :           0 :                     case OBJECT_EVENT_TRIGGER:
    2705                 :           0 :                         msg = gettext_noop("permission denied for event trigger %s");
    2706                 :           0 :                         break;
    2707                 :           0 :                     case OBJECT_EXTENSION:
    2708                 :           0 :                         msg = gettext_noop("permission denied for extension %s");
    2709                 :           0 :                         break;
    2710                 :          29 :                     case OBJECT_FDW:
    2711                 :          29 :                         msg = gettext_noop("permission denied for foreign-data wrapper %s");
    2712                 :          29 :                         break;
    2713                 :          17 :                     case OBJECT_FOREIGN_SERVER:
    2714                 :          17 :                         msg = gettext_noop("permission denied for foreign server %s");
    2715                 :          17 :                         break;
    2716                 :           1 :                     case OBJECT_FOREIGN_TABLE:
    2717                 :           1 :                         msg = gettext_noop("permission denied for foreign table %s");
    2718                 :           1 :                         break;
    2719                 :          61 :                     case OBJECT_FUNCTION:
    2720                 :          61 :                         msg = gettext_noop("permission denied for function %s");
    2721                 :          61 :                         break;
    2722                 :           9 :                     case OBJECT_INDEX:
    2723                 :           9 :                         msg = gettext_noop("permission denied for index %s");
    2724                 :           9 :                         break;
    2725                 :           5 :                     case OBJECT_LANGUAGE:
    2726                 :           5 :                         msg = gettext_noop("permission denied for language %s");
    2727                 :           5 :                         break;
    2728                 :           0 :                     case OBJECT_LARGEOBJECT:
    2729                 :           0 :                         msg = gettext_noop("permission denied for large object %s");
    2730                 :           0 :                         break;
    2731                 :           4 :                     case OBJECT_MATVIEW:
    2732                 :           4 :                         msg = gettext_noop("permission denied for materialized view %s");
    2733                 :           4 :                         break;
    2734                 :           0 :                     case OBJECT_OPCLASS:
    2735                 :           0 :                         msg = gettext_noop("permission denied for operator class %s");
    2736                 :           0 :                         break;
    2737                 :           0 :                     case OBJECT_OPERATOR:
    2738                 :           0 :                         msg = gettext_noop("permission denied for operator %s");
    2739                 :           0 :                         break;
    2740                 :           0 :                     case OBJECT_OPFAMILY:
    2741                 :           0 :                         msg = gettext_noop("permission denied for operator family %s");
    2742                 :           0 :                         break;
    2743                 :           0 :                     case OBJECT_PARAMETER_ACL:
    2744                 :           0 :                         msg = gettext_noop("permission denied for parameter %s");
    2745                 :           0 :                         break;
    2746                 :           0 :                     case OBJECT_POLICY:
    2747                 :           0 :                         msg = gettext_noop("permission denied for policy %s");
    2748                 :           0 :                         break;
    2749                 :           8 :                     case OBJECT_PROCEDURE:
    2750                 :           8 :                         msg = gettext_noop("permission denied for procedure %s");
    2751                 :           8 :                         break;
    2752                 :           8 :                     case OBJECT_PROPGRAPH:
    2753                 :           8 :                         msg = gettext_noop("permission denied for property graph %s");
    2754                 :           8 :                         break;
    2755                 :           0 :                     case OBJECT_PUBLICATION:
    2756                 :           0 :                         msg = gettext_noop("permission denied for publication %s");
    2757                 :           0 :                         break;
    2758                 :           0 :                     case OBJECT_ROUTINE:
    2759                 :           0 :                         msg = gettext_noop("permission denied for routine %s");
    2760                 :           0 :                         break;
    2761                 :          37 :                     case OBJECT_SCHEMA:
    2762                 :          37 :                         msg = gettext_noop("permission denied for schema %s");
    2763                 :          37 :                         break;
    2764                 :           0 :                     case OBJECT_SEQUENCE:
    2765                 :           0 :                         msg = gettext_noop("permission denied for sequence %s");
    2766                 :           0 :                         break;
    2767                 :           0 :                     case OBJECT_STATISTIC_EXT:
    2768                 :           0 :                         msg = gettext_noop("permission denied for statistics object %s");
    2769                 :           0 :                         break;
    2770                 :           0 :                     case OBJECT_SUBSCRIPTION:
    2771                 :           0 :                         msg = gettext_noop("permission denied for subscription %s");
    2772                 :           0 :                         break;
    2773                 :         994 :                     case OBJECT_TABLE:
    2774                 :         994 :                         msg = gettext_noop("permission denied for table %s");
    2775                 :         994 :                         break;
    2776                 :          10 :                     case OBJECT_TABLESPACE:
    2777                 :          10 :                         msg = gettext_noop("permission denied for tablespace %s");
    2778                 :          10 :                         break;
    2779                 :           0 :                     case OBJECT_TSCONFIGURATION:
    2780                 :           0 :                         msg = gettext_noop("permission denied for text search configuration %s");
    2781                 :           0 :                         break;
    2782                 :           0 :                     case OBJECT_TSDICTIONARY:
    2783                 :           0 :                         msg = gettext_noop("permission denied for text search dictionary %s");
    2784                 :           0 :                         break;
    2785                 :          80 :                     case OBJECT_TYPE:
    2786                 :          80 :                         msg = gettext_noop("permission denied for type %s");
    2787                 :          80 :                         break;
    2788                 :         278 :                     case OBJECT_VIEW:
    2789                 :         278 :                         msg = gettext_noop("permission denied for view %s");
    2790                 :         278 :                         break;
    2791                 :             :                         /* these currently aren't used */
    2792                 :           0 :                     case OBJECT_ACCESS_METHOD:
    2793                 :             :                     case OBJECT_AMOP:
    2794                 :             :                     case OBJECT_AMPROC:
    2795                 :             :                     case OBJECT_ATTRIBUTE:
    2796                 :             :                     case OBJECT_CAST:
    2797                 :             :                     case OBJECT_DEFAULT:
    2798                 :             :                     case OBJECT_DEFACL:
    2799                 :             :                     case OBJECT_DOMCONSTRAINT:
    2800                 :             :                     case OBJECT_PUBLICATION_NAMESPACE:
    2801                 :             :                     case OBJECT_PUBLICATION_REL:
    2802                 :             :                     case OBJECT_ROLE:
    2803                 :             :                     case OBJECT_RULE:
    2804                 :             :                     case OBJECT_TABCONSTRAINT:
    2805                 :             :                     case OBJECT_TRANSFORM:
    2806                 :             :                     case OBJECT_TRIGGER:
    2807                 :             :                     case OBJECT_TSPARSER:
    2808                 :             :                     case OBJECT_TSTEMPLATE:
    2809                 :             :                     case OBJECT_USER_MAPPING:
    2810         [ #  # ]:           0 :                         elog(ERROR, "unsupported object type: %d", objtype);
    2811                 :             :                 }
    2812                 :             : 
    2813         [ +  - ]:        1558 :                 ereport(ERROR,
    2814                 :             :                         (errcode(ERRCODE_INSUFFICIENT_PRIVILEGE),
    2815                 :             :                          errmsg(msg, objectname)));
    2816                 :             :                 break;
    2817                 :             :             }
    2818                 :         374 :         case ACLCHECK_NOT_OWNER:
    2819                 :             :             {
    2820                 :         374 :                 const char *msg = "???";
    2821                 :             : 
    2822   [ +  -  +  -  :         374 :                 switch (objtype)
          -  -  -  +  +  
          -  +  +  +  -  
          -  +  +  +  +  
          +  +  -  +  +  
          +  +  +  +  +  
          -  +  +  +  -  
                      - ]
    2823                 :             :                 {
    2824                 :           4 :                     case OBJECT_AGGREGATE:
    2825                 :           4 :                         msg = gettext_noop("must be owner of aggregate %s");
    2826                 :           4 :                         break;
    2827                 :           0 :                     case OBJECT_COLLATION:
    2828                 :           0 :                         msg = gettext_noop("must be owner of collation %s");
    2829                 :           0 :                         break;
    2830                 :          12 :                     case OBJECT_CONVERSION:
    2831                 :          12 :                         msg = gettext_noop("must be owner of conversion %s");
    2832                 :          12 :                         break;
    2833                 :           0 :                     case OBJECT_DATABASE:
    2834                 :           0 :                         msg = gettext_noop("must be owner of database %s");
    2835                 :           0 :                         break;
    2836                 :           0 :                     case OBJECT_DOMAIN:
    2837                 :           0 :                         msg = gettext_noop("must be owner of domain %s");
    2838                 :           0 :                         break;
    2839                 :           0 :                     case OBJECT_EVENT_TRIGGER:
    2840                 :           0 :                         msg = gettext_noop("must be owner of event trigger %s");
    2841                 :           0 :                         break;
    2842                 :           0 :                     case OBJECT_EXTENSION:
    2843                 :           0 :                         msg = gettext_noop("must be owner of extension %s");
    2844                 :           0 :                         break;
    2845                 :          12 :                     case OBJECT_FDW:
    2846                 :          12 :                         msg = gettext_noop("must be owner of foreign-data wrapper %s");
    2847                 :          12 :                         break;
    2848                 :          76 :                     case OBJECT_FOREIGN_SERVER:
    2849                 :          76 :                         msg = gettext_noop("must be owner of foreign server %s");
    2850                 :          76 :                         break;
    2851                 :           0 :                     case OBJECT_FOREIGN_TABLE:
    2852                 :           0 :                         msg = gettext_noop("must be owner of foreign table %s");
    2853                 :           0 :                         break;
    2854                 :          28 :                     case OBJECT_FUNCTION:
    2855                 :          28 :                         msg = gettext_noop("must be owner of function %s");
    2856                 :          28 :                         break;
    2857                 :          16 :                     case OBJECT_INDEX:
    2858                 :          16 :                         msg = gettext_noop("must be owner of index %s");
    2859                 :          16 :                         break;
    2860                 :           8 :                     case OBJECT_LANGUAGE:
    2861                 :           8 :                         msg = gettext_noop("must be owner of language %s");
    2862                 :           8 :                         break;
    2863                 :           0 :                     case OBJECT_LARGEOBJECT:
    2864                 :           0 :                         msg = gettext_noop("must be owner of large object %s");
    2865                 :           0 :                         break;
    2866                 :           0 :                     case OBJECT_MATVIEW:
    2867                 :           0 :                         msg = gettext_noop("must be owner of materialized view %s");
    2868                 :           0 :                         break;
    2869                 :          12 :                     case OBJECT_OPCLASS:
    2870                 :          12 :                         msg = gettext_noop("must be owner of operator class %s");
    2871                 :          12 :                         break;
    2872                 :          12 :                     case OBJECT_OPERATOR:
    2873                 :          12 :                         msg = gettext_noop("must be owner of operator %s");
    2874                 :          12 :                         break;
    2875                 :          12 :                     case OBJECT_OPFAMILY:
    2876                 :          12 :                         msg = gettext_noop("must be owner of operator family %s");
    2877                 :          12 :                         break;
    2878                 :           4 :                     case OBJECT_PROCEDURE:
    2879                 :           4 :                         msg = gettext_noop("must be owner of procedure %s");
    2880                 :           4 :                         break;
    2881                 :          12 :                     case OBJECT_PROPGRAPH:
    2882                 :          12 :                         msg = gettext_noop("must be owner of property graph %s");
    2883                 :          12 :                         break;
    2884                 :           4 :                     case OBJECT_PUBLICATION:
    2885                 :           4 :                         msg = gettext_noop("must be owner of publication %s");
    2886                 :           4 :                         break;
    2887                 :           0 :                     case OBJECT_ROUTINE:
    2888                 :           0 :                         msg = gettext_noop("must be owner of routine %s");
    2889                 :           0 :                         break;
    2890                 :           4 :                     case OBJECT_SEQUENCE:
    2891                 :           4 :                         msg = gettext_noop("must be owner of sequence %s");
    2892                 :           4 :                         break;
    2893                 :           4 :                     case OBJECT_SUBSCRIPTION:
    2894                 :           4 :                         msg = gettext_noop("must be owner of subscription %s");
    2895                 :           4 :                         break;
    2896                 :          66 :                     case OBJECT_TABLE:
    2897                 :          66 :                         msg = gettext_noop("must be owner of table %s");
    2898                 :          66 :                         break;
    2899                 :           4 :                     case OBJECT_TYPE:
    2900                 :           4 :                         msg = gettext_noop("must be owner of type %s");
    2901                 :           4 :                         break;
    2902                 :          12 :                     case OBJECT_VIEW:
    2903                 :          12 :                         msg = gettext_noop("must be owner of view %s");
    2904                 :          12 :                         break;
    2905                 :          12 :                     case OBJECT_SCHEMA:
    2906                 :          12 :                         msg = gettext_noop("must be owner of schema %s");
    2907                 :          12 :                         break;
    2908                 :          24 :                     case OBJECT_STATISTIC_EXT:
    2909                 :          24 :                         msg = gettext_noop("must be owner of statistics object %s");
    2910                 :          24 :                         break;
    2911                 :           0 :                     case OBJECT_TABLESPACE:
    2912                 :           0 :                         msg = gettext_noop("must be owner of tablespace %s");
    2913                 :           0 :                         break;
    2914                 :          12 :                     case OBJECT_TSCONFIGURATION:
    2915                 :          12 :                         msg = gettext_noop("must be owner of text search configuration %s");
    2916                 :          12 :                         break;
    2917                 :          12 :                     case OBJECT_TSDICTIONARY:
    2918                 :          12 :                         msg = gettext_noop("must be owner of text search dictionary %s");
    2919                 :          12 :                         break;
    2920                 :             : 
    2921                 :             :                         /*
    2922                 :             :                          * Special cases: For these, the error message talks
    2923                 :             :                          * about "relation", because that's where the
    2924                 :             :                          * ownership is attached.  See also
    2925                 :             :                          * check_object_ownership().
    2926                 :             :                          */
    2927                 :          12 :                     case OBJECT_COLUMN:
    2928                 :             :                     case OBJECT_POLICY:
    2929                 :             :                     case OBJECT_RULE:
    2930                 :             :                     case OBJECT_TABCONSTRAINT:
    2931                 :             :                     case OBJECT_TRIGGER:
    2932                 :          12 :                         msg = gettext_noop("must be owner of relation %s");
    2933                 :          12 :                         break;
    2934                 :             :                         /* these currently aren't used */
    2935                 :           0 :                     case OBJECT_ACCESS_METHOD:
    2936                 :             :                     case OBJECT_AMOP:
    2937                 :             :                     case OBJECT_AMPROC:
    2938                 :             :                     case OBJECT_ATTRIBUTE:
    2939                 :             :                     case OBJECT_CAST:
    2940                 :             :                     case OBJECT_DEFAULT:
    2941                 :             :                     case OBJECT_DEFACL:
    2942                 :             :                     case OBJECT_DOMCONSTRAINT:
    2943                 :             :                     case OBJECT_PARAMETER_ACL:
    2944                 :             :                     case OBJECT_PUBLICATION_NAMESPACE:
    2945                 :             :                     case OBJECT_PUBLICATION_REL:
    2946                 :             :                     case OBJECT_ROLE:
    2947                 :             :                     case OBJECT_TRANSFORM:
    2948                 :             :                     case OBJECT_TSPARSER:
    2949                 :             :                     case OBJECT_TSTEMPLATE:
    2950                 :             :                     case OBJECT_USER_MAPPING:
    2951         [ #  # ]:           0 :                         elog(ERROR, "unsupported object type: %d", objtype);
    2952                 :             :                 }
    2953                 :             : 
    2954         [ +  - ]:         374 :                 ereport(ERROR,
    2955                 :             :                         (errcode(ERRCODE_INSUFFICIENT_PRIVILEGE),
    2956                 :             :                          errmsg(msg, objectname)));
    2957                 :             :                 break;
    2958                 :             :             }
    2959                 :           0 :         default:
    2960         [ #  # ]:           0 :             elog(ERROR, "unrecognized AclResult: %d", (int) aclerr);
    2961                 :             :             break;
    2962                 :             :     }
    2963                 :           0 : }
    2964                 :             : 
    2965                 :             : 
    2966                 :             : void
    2967                 :           0 : aclcheck_error_col(AclResult aclerr, ObjectType objtype,
    2968                 :             :                    const char *objectname, const char *colname)
    2969                 :             : {
    2970   [ #  #  #  # ]:           0 :     switch (aclerr)
    2971                 :             :     {
    2972                 :           0 :         case ACLCHECK_OK:
    2973                 :             :             /* no error, so return to caller */
    2974                 :           0 :             break;
    2975                 :           0 :         case ACLCHECK_NO_PRIV:
    2976         [ #  # ]:           0 :             ereport(ERROR,
    2977                 :             :                     (errcode(ERRCODE_INSUFFICIENT_PRIVILEGE),
    2978                 :             :                      errmsg("permission denied for column \"%s\" of relation \"%s\"",
    2979                 :             :                             colname, objectname)));
    2980                 :             :             break;
    2981                 :           0 :         case ACLCHECK_NOT_OWNER:
    2982                 :             :             /* relation msg is OK since columns don't have separate owners */
    2983                 :           0 :             aclcheck_error(aclerr, objtype, objectname);
    2984                 :           0 :             break;
    2985                 :           0 :         default:
    2986         [ #  # ]:           0 :             elog(ERROR, "unrecognized AclResult: %d", (int) aclerr);
    2987                 :             :             break;
    2988                 :             :     }
    2989                 :           0 : }
    2990                 :             : 
    2991                 :             : 
    2992                 :             : /*
    2993                 :             :  * Special common handling for types: use element type instead of array type,
    2994                 :             :  * and format nicely
    2995                 :             :  */
    2996                 :             : void
    2997                 :          80 : aclcheck_error_type(AclResult aclerr, Oid typeOid)
    2998                 :             : {
    2999                 :          80 :     Oid         element_type = get_element_type(typeOid);
    3000                 :             : 
    3001         [ +  + ]:          80 :     aclcheck_error(aclerr, OBJECT_TYPE, format_type_be(element_type ? element_type : typeOid));
    3002                 :           0 : }
    3003                 :             : 
    3004                 :             : 
    3005                 :             : /*
    3006                 :             :  * Relay for the various pg_*_mask routines depending on object kind
    3007                 :             :  */
    3008                 :             : static AclMode
    3009                 :          48 : pg_aclmask(ObjectType objtype, Oid object_oid, AttrNumber attnum, Oid roleid,
    3010                 :             :            AclMode mask, AclMaskHow how)
    3011                 :             : {
    3012   [ -  +  -  -  :          48 :     switch (objtype)
          +  -  -  -  -  
          -  +  +  -  +  
                      - ]
    3013                 :             :     {
    3014                 :           0 :         case OBJECT_COLUMN:
    3015                 :             :             return
    3016                 :           0 :                 pg_class_aclmask(object_oid, roleid, mask, how) |
    3017                 :           0 :                 pg_attribute_aclmask(object_oid, attnum, roleid, mask, how);
    3018                 :          12 :         case OBJECT_TABLE:
    3019                 :             :         case OBJECT_SEQUENCE:
    3020                 :             :         case OBJECT_PROPGRAPH:
    3021                 :          12 :             return pg_class_aclmask(object_oid, roleid, mask, how);
    3022                 :           0 :         case OBJECT_DATABASE:
    3023                 :           0 :             return object_aclmask(DatabaseRelationId, object_oid, roleid, mask, how);
    3024                 :           0 :         case OBJECT_FUNCTION:
    3025                 :           0 :             return object_aclmask(ProcedureRelationId, object_oid, roleid, mask, how);
    3026                 :           4 :         case OBJECT_LANGUAGE:
    3027                 :           4 :             return object_aclmask(LanguageRelationId, object_oid, roleid, mask, how);
    3028                 :           0 :         case OBJECT_LARGEOBJECT:
    3029                 :           0 :             return pg_largeobject_aclmask_snapshot(object_oid, roleid,
    3030                 :             :                                                    mask, how, NULL);
    3031                 :           0 :         case OBJECT_PARAMETER_ACL:
    3032                 :           0 :             return pg_parameter_acl_aclmask(object_oid, roleid, mask, how);
    3033                 :           0 :         case OBJECT_SCHEMA:
    3034                 :           0 :             return object_aclmask(NamespaceRelationId, object_oid, roleid, mask, how);
    3035                 :           0 :         case OBJECT_STATISTIC_EXT:
    3036         [ #  # ]:           0 :             elog(ERROR, "grantable rights not supported for statistics objects");
    3037                 :             :             /* not reached, but keep compiler quiet */
    3038                 :             :             return ACL_NO_RIGHTS;
    3039                 :           0 :         case OBJECT_TABLESPACE:
    3040                 :           0 :             return object_aclmask(TableSpaceRelationId, object_oid, roleid, mask, how);
    3041                 :          12 :         case OBJECT_FDW:
    3042                 :          12 :             return object_aclmask(ForeignDataWrapperRelationId, object_oid, roleid, mask, how);
    3043                 :          12 :         case OBJECT_FOREIGN_SERVER:
    3044                 :          12 :             return object_aclmask(ForeignServerRelationId, object_oid, roleid, mask, how);
    3045                 :           0 :         case OBJECT_EVENT_TRIGGER:
    3046         [ #  # ]:           0 :             elog(ERROR, "grantable rights not supported for event triggers");
    3047                 :             :             /* not reached, but keep compiler quiet */
    3048                 :             :             return ACL_NO_RIGHTS;
    3049                 :           8 :         case OBJECT_TYPE:
    3050                 :           8 :             return object_aclmask(TypeRelationId, object_oid, roleid, mask, how);
    3051                 :           0 :         default:
    3052         [ #  # ]:           0 :             elog(ERROR, "unrecognized object type: %d",
    3053                 :             :                  (int) objtype);
    3054                 :             :             /* not reached, but keep compiler quiet */
    3055                 :             :             return ACL_NO_RIGHTS;
    3056                 :             :     }
    3057                 :             : }
    3058                 :             : 
    3059                 :             : 
    3060                 :             : /*
    3061                 :             :  * ****************************************************************
    3062                 :             :  * Exported routines for examining a user's privileges for various objects
    3063                 :             :  *
    3064                 :             :  * See aclmask() for a description of the common API for these functions.
    3065                 :             :  * ****************************************************************
    3066                 :             :  */
    3067                 :             : 
    3068                 :             : /*
    3069                 :             :  * Generic routine for examining a user's privileges for an object
    3070                 :             :  */
    3071                 :             : static AclMode
    3072                 :          36 : object_aclmask(Oid classid, Oid objectid, Oid roleid,
    3073                 :             :                AclMode mask, AclMaskHow how)
    3074                 :             : {
    3075                 :          36 :     return object_aclmask_ext(classid, objectid, roleid, mask, how, NULL);
    3076                 :             : }
    3077                 :             : 
    3078                 :             : /*
    3079                 :             :  * Generic routine for examining a user's privileges for an object,
    3080                 :             :  * with is_missing
    3081                 :             :  */
    3082                 :             : static AclMode
    3083                 :     2076338 : object_aclmask_ext(Oid classid, Oid objectid, Oid roleid,
    3084                 :             :                    AclMode mask, AclMaskHow how,
    3085                 :             :                    bool *is_missing)
    3086                 :             : {
    3087                 :             :     SysCacheIdentifier cacheid;
    3088                 :             :     AclMode     result;
    3089                 :             :     HeapTuple   tuple;
    3090                 :             :     Datum       aclDatum;
    3091                 :             :     bool        isNull;
    3092                 :             :     Acl        *acl;
    3093                 :             :     Oid         ownerId;
    3094                 :             : 
    3095                 :             :     /* Special cases */
    3096      [ +  +  + ]:     2076338 :     switch (classid)
    3097                 :             :     {
    3098                 :      635007 :         case NamespaceRelationId:
    3099                 :      635007 :             return pg_namespace_aclmask_ext(objectid, roleid, mask, how,
    3100                 :             :                                             is_missing);
    3101                 :      214153 :         case TypeRelationId:
    3102                 :      214153 :             return pg_type_aclmask_ext(objectid, roleid, mask, how,
    3103                 :             :                                        is_missing);
    3104                 :             :     }
    3105                 :             : 
    3106                 :             :     /* Even more special cases */
    3107                 :             :     Assert(classid != RelationRelationId);  /* should use pg_class_acl* */
    3108                 :             :     Assert(classid != LargeObjectMetadataRelationId);   /* should use
    3109                 :             :                                                          * pg_largeobject_acl* */
    3110                 :             : 
    3111                 :             :     /* Superusers bypass all permission checking. */
    3112         [ +  + ]:     1227178 :     if (superuser_arg(roleid))
    3113                 :     1196035 :         return mask;
    3114                 :             : 
    3115                 :             :     /*
    3116                 :             :      * Get the object's ACL from its catalog
    3117                 :             :      */
    3118                 :             : 
    3119                 :       31143 :     cacheid = get_object_catcache_oid(classid);
    3120                 :             : 
    3121                 :       31143 :     tuple = SearchSysCache1(cacheid, ObjectIdGetDatum(objectid));
    3122         [ -  + ]:       31143 :     if (!HeapTupleIsValid(tuple))
    3123                 :             :     {
    3124         [ #  # ]:           0 :         if (is_missing != NULL)
    3125                 :             :         {
    3126                 :             :             /* return "no privileges" instead of throwing an error */
    3127                 :           0 :             *is_missing = true;
    3128                 :           0 :             return 0;
    3129                 :             :         }
    3130                 :             :         else
    3131         [ #  # ]:           0 :             elog(ERROR, "cache lookup failed for %s %u",
    3132                 :             :                  get_object_class_descr(classid), objectid);
    3133                 :             :     }
    3134                 :             : 
    3135                 :       31143 :     ownerId = DatumGetObjectId(SysCacheGetAttrNotNull(cacheid,
    3136                 :             :                                                       tuple,
    3137                 :       31143 :                                                       get_object_attnum_owner(classid)));
    3138                 :             : 
    3139                 :       31143 :     aclDatum = SysCacheGetAttr(cacheid, tuple, get_object_attnum_acl(classid),
    3140                 :             :                                &isNull);
    3141         [ +  + ]:       31143 :     if (isNull)
    3142                 :             :     {
    3143                 :             :         /* No ACL, so build default ACL */
    3144                 :       29397 :         acl = acldefault(get_object_type(classid, objectid), ownerId);
    3145                 :       29397 :         aclDatum = (Datum) 0;
    3146                 :             :     }
    3147                 :             :     else
    3148                 :             :     {
    3149                 :             :         /* detoast ACL if necessary */
    3150                 :        1746 :         acl = DatumGetAclP(aclDatum);
    3151                 :             :     }
    3152                 :             : 
    3153                 :       31143 :     result = aclmask(acl, roleid, ownerId, mask, how);
    3154                 :             : 
    3155                 :             :     /* if we have a detoasted copy, free it */
    3156   [ +  -  +  - ]:       31143 :     if (acl && acl != DatumGetPointer(aclDatum))
    3157                 :       31143 :         pfree(acl);
    3158                 :             : 
    3159                 :       31143 :     ReleaseSysCache(tuple);
    3160                 :             : 
    3161                 :       31143 :     return result;
    3162                 :             : }
    3163                 :             : 
    3164                 :             : /*
    3165                 :             :  * Routine for examining a user's privileges for a column
    3166                 :             :  *
    3167                 :             :  * Note: this considers only privileges granted specifically on the column.
    3168                 :             :  * It is caller's responsibility to take relation-level privileges into account
    3169                 :             :  * as appropriate.  (For the same reason, we have no special case for
    3170                 :             :  * superuser-ness here.)
    3171                 :             :  */
    3172                 :             : static AclMode
    3173                 :           0 : pg_attribute_aclmask(Oid table_oid, AttrNumber attnum, Oid roleid,
    3174                 :             :                      AclMode mask, AclMaskHow how)
    3175                 :             : {
    3176                 :           0 :     return pg_attribute_aclmask_ext(table_oid, attnum, roleid,
    3177                 :             :                                     mask, how, NULL);
    3178                 :             : }
    3179                 :             : 
    3180                 :             : /*
    3181                 :             :  * Routine for examining a user's privileges for a column, with is_missing
    3182                 :             :  */
    3183                 :             : static AclMode
    3184                 :      391122 : pg_attribute_aclmask_ext(Oid table_oid, AttrNumber attnum, Oid roleid,
    3185                 :             :                          AclMode mask, AclMaskHow how, bool *is_missing)
    3186                 :             : {
    3187                 :             :     AclMode     result;
    3188                 :             :     HeapTuple   classTuple;
    3189                 :             :     HeapTuple   attTuple;
    3190                 :             :     Form_pg_class classForm;
    3191                 :             :     Form_pg_attribute attributeForm;
    3192                 :             :     Datum       aclDatum;
    3193                 :             :     bool        isNull;
    3194                 :             :     Acl        *acl;
    3195                 :             :     Oid         ownerId;
    3196                 :             : 
    3197                 :             :     /*
    3198                 :             :      * First, get the column's ACL from its pg_attribute entry
    3199                 :             :      */
    3200                 :      391122 :     attTuple = SearchSysCache2(ATTNUM,
    3201                 :             :                                ObjectIdGetDatum(table_oid),
    3202                 :             :                                Int16GetDatum(attnum));
    3203         [ +  + ]:      391122 :     if (!HeapTupleIsValid(attTuple))
    3204                 :             :     {
    3205         [ +  - ]:          20 :         if (is_missing != NULL)
    3206                 :             :         {
    3207                 :             :             /* return "no privileges" instead of throwing an error */
    3208                 :          20 :             *is_missing = true;
    3209                 :          20 :             return 0;
    3210                 :             :         }
    3211                 :             :         else
    3212         [ #  # ]:           0 :             ereport(ERROR,
    3213                 :             :                     (errcode(ERRCODE_UNDEFINED_COLUMN),
    3214                 :             :                      errmsg("attribute %d of relation with OID %u does not exist",
    3215                 :             :                             attnum, table_oid)));
    3216                 :             :     }
    3217                 :             : 
    3218                 :      391102 :     attributeForm = (Form_pg_attribute) GETSTRUCT(attTuple);
    3219                 :             : 
    3220                 :             :     /* Check dropped columns, too */
    3221         [ +  + ]:      391102 :     if (attributeForm->attisdropped)
    3222                 :             :     {
    3223         [ +  - ]:           8 :         if (is_missing != NULL)
    3224                 :             :         {
    3225                 :             :             /* return "no privileges" instead of throwing an error */
    3226                 :           8 :             *is_missing = true;
    3227                 :           8 :             ReleaseSysCache(attTuple);
    3228                 :           8 :             return 0;
    3229                 :             :         }
    3230                 :             :         else
    3231         [ #  # ]:           0 :             ereport(ERROR,
    3232                 :             :                     (errcode(ERRCODE_UNDEFINED_COLUMN),
    3233                 :             :                      errmsg("attribute %d of relation with OID %u does not exist",
    3234                 :             :                             attnum, table_oid)));
    3235                 :             :     }
    3236                 :             : 
    3237                 :      391094 :     aclDatum = SysCacheGetAttr(ATTNUM, attTuple, Anum_pg_attribute_attacl,
    3238                 :             :                                &isNull);
    3239                 :             : 
    3240                 :             :     /*
    3241                 :             :      * Here we hard-wire knowledge that the default ACL for a column grants no
    3242                 :             :      * privileges, so that we can fall out quickly in the very common case
    3243                 :             :      * where attacl is null.
    3244                 :             :      */
    3245         [ +  + ]:      391094 :     if (isNull)
    3246                 :             :     {
    3247                 :      384416 :         ReleaseSysCache(attTuple);
    3248                 :      384416 :         return 0;
    3249                 :             :     }
    3250                 :             : 
    3251                 :             :     /*
    3252                 :             :      * Must get the relation's ownerId from pg_class.  Since we already found
    3253                 :             :      * a pg_attribute entry, the only likely reason for this to fail is that a
    3254                 :             :      * concurrent DROP of the relation committed since then (which could only
    3255                 :             :      * happen if we don't have lock on the relation).  Treat that similarly to
    3256                 :             :      * not finding the attribute entry.
    3257                 :             :      */
    3258                 :        6678 :     classTuple = SearchSysCache1(RELOID, ObjectIdGetDatum(table_oid));
    3259         [ -  + ]:        6678 :     if (!HeapTupleIsValid(classTuple))
    3260                 :             :     {
    3261                 :           0 :         ReleaseSysCache(attTuple);
    3262         [ #  # ]:           0 :         if (is_missing != NULL)
    3263                 :             :         {
    3264                 :             :             /* return "no privileges" instead of throwing an error */
    3265                 :           0 :             *is_missing = true;
    3266                 :           0 :             return 0;
    3267                 :             :         }
    3268                 :             :         else
    3269         [ #  # ]:           0 :             ereport(ERROR,
    3270                 :             :                     (errcode(ERRCODE_UNDEFINED_TABLE),
    3271                 :             :                      errmsg("relation with OID %u does not exist",
    3272                 :             :                             table_oid)));
    3273                 :             :     }
    3274                 :        6678 :     classForm = (Form_pg_class) GETSTRUCT(classTuple);
    3275                 :             : 
    3276                 :        6678 :     ownerId = classForm->relowner;
    3277                 :             : 
    3278                 :        6678 :     ReleaseSysCache(classTuple);
    3279                 :             : 
    3280                 :             :     /* detoast column's ACL if necessary */
    3281                 :        6678 :     acl = DatumGetAclP(aclDatum);
    3282                 :             : 
    3283                 :        6678 :     result = aclmask(acl, roleid, ownerId, mask, how);
    3284                 :             : 
    3285                 :             :     /* if we have a detoasted copy, free it */
    3286   [ +  -  +  - ]:        6678 :     if (acl && acl != DatumGetPointer(aclDatum))
    3287                 :        6678 :         pfree(acl);
    3288                 :             : 
    3289                 :        6678 :     ReleaseSysCache(attTuple);
    3290                 :             : 
    3291                 :        6678 :     return result;
    3292                 :             : }
    3293                 :             : 
    3294                 :             : /*
    3295                 :             :  * Exported routine for examining a user's privileges for a table
    3296                 :             :  */
    3297                 :             : AclMode
    3298                 :      387341 : pg_class_aclmask(Oid table_oid, Oid roleid,
    3299                 :             :                  AclMode mask, AclMaskHow how)
    3300                 :             : {
    3301                 :      387341 :     return pg_class_aclmask_ext(table_oid, roleid, mask, how, NULL);
    3302                 :             : }
    3303                 :             : 
    3304                 :             : /*
    3305                 :             :  * Routine for examining a user's privileges for a table, with is_missing
    3306                 :             :  */
    3307                 :             : static AclMode
    3308                 :     2384325 : pg_class_aclmask_ext(Oid table_oid, Oid roleid, AclMode mask,
    3309                 :             :                      AclMaskHow how, bool *is_missing)
    3310                 :             : {
    3311                 :             :     AclMode     result;
    3312                 :             :     HeapTuple   tuple;
    3313                 :             :     Form_pg_class classForm;
    3314                 :             :     Datum       aclDatum;
    3315                 :             :     bool        isNull;
    3316                 :             :     Acl        *acl;
    3317                 :             :     Oid         ownerId;
    3318                 :             : 
    3319                 :             :     /*
    3320                 :             :      * Must get the relation's tuple from pg_class
    3321                 :             :      */
    3322                 :     2384325 :     tuple = SearchSysCache1(RELOID, ObjectIdGetDatum(table_oid));
    3323         [ +  + ]:     2384325 :     if (!HeapTupleIsValid(tuple))
    3324                 :             :     {
    3325         [ +  - ]:           5 :         if (is_missing != NULL)
    3326                 :             :         {
    3327                 :             :             /* return "no privileges" instead of throwing an error */
    3328                 :           5 :             *is_missing = true;
    3329                 :           5 :             return 0;
    3330                 :             :         }
    3331                 :             :         else
    3332         [ #  # ]:           0 :             ereport(ERROR,
    3333                 :             :                     (errcode(ERRCODE_UNDEFINED_TABLE),
    3334                 :             :                      errmsg("relation with OID %u does not exist",
    3335                 :             :                             table_oid)));
    3336                 :             :     }
    3337                 :             : 
    3338                 :     2384320 :     classForm = (Form_pg_class) GETSTRUCT(tuple);
    3339                 :             : 
    3340         [ +  + ]:     2384320 :     if (!superuser_arg(roleid))
    3341                 :             :     {
    3342         [ +  + ]:       40178 :         if (mask & (ACL_INSERT | ACL_UPDATE | ACL_DELETE | ACL_TRUNCATE | ACL_USAGE))
    3343                 :             :         {
    3344         [ +  + ]:        4841 :             if (IsConflictLogTableClass(classForm))
    3345                 :             :             {
    3346                 :             :                 /*
    3347                 :             :                  * For conflict log tables, allow non-superusers to perform
    3348                 :             :                  * DELETE and TRUNCATE for cleanup and maintenance, while
    3349                 :             :                  * still restricting INSERT, UPDATE, and USAGE.
    3350                 :             :                  */
    3351                 :           8 :                 mask &= ~(ACL_INSERT | ACL_UPDATE | ACL_USAGE);
    3352                 :             :             }
    3353         [ +  + ]:        4833 :             else if (IsSystemClass(table_oid, classForm) &&
    3354         [ +  - ]:          46 :                      classForm->relkind != RELKIND_VIEW)
    3355                 :             :             {
    3356                 :             :                 /*
    3357                 :             :                  * Deny anyone permission to update a system catalog unless
    3358                 :             :                  * pg_authid.rolsuper is set.
    3359                 :             :                  *
    3360                 :             :                  * As of 7.4 we have some updatable system views; those
    3361                 :             :                  * shouldn't be protected in this way.  Assume the view rules
    3362                 :             :                  * can take care of themselves.  ACL_USAGE is if we ever have
    3363                 :             :                  * system sequences.
    3364                 :             :                  */
    3365                 :          46 :                 mask &= ~(ACL_INSERT | ACL_UPDATE | ACL_DELETE | ACL_TRUNCATE |
    3366                 :             :                           ACL_USAGE);
    3367                 :             :             }
    3368                 :             :         }
    3369                 :             :     }
    3370                 :             :     else
    3371                 :             :     {
    3372                 :             :         /* Superusers bypass all permission-checking. */
    3373                 :     2344142 :         ReleaseSysCache(tuple);
    3374                 :     2344142 :         return mask;
    3375                 :             :     }
    3376                 :             : 
    3377                 :             :     /*
    3378                 :             :      * Normal case: get the relation's ACL from pg_class
    3379                 :             :      */
    3380                 :       40178 :     ownerId = classForm->relowner;
    3381                 :             : 
    3382                 :       40178 :     aclDatum = SysCacheGetAttr(RELOID, tuple, Anum_pg_class_relacl,
    3383                 :             :                                &isNull);
    3384         [ +  + ]:       40178 :     if (isNull)
    3385                 :             :     {
    3386                 :             :         /* No ACL, so build default ACL */
    3387         [ +  + ]:       11677 :         switch (classForm->relkind)
    3388                 :             :         {
    3389                 :          84 :             case RELKIND_SEQUENCE:
    3390                 :          84 :                 acl = acldefault(OBJECT_SEQUENCE, ownerId);
    3391                 :          84 :                 break;
    3392                 :       11593 :             default:
    3393                 :       11593 :                 acl = acldefault(OBJECT_TABLE, ownerId);
    3394                 :       11593 :                 break;
    3395                 :             :         }
    3396                 :       11677 :         aclDatum = (Datum) 0;
    3397                 :             :     }
    3398                 :             :     else
    3399                 :             :     {
    3400                 :             :         /* detoast rel's ACL if necessary */
    3401                 :       28501 :         acl = DatumGetAclP(aclDatum);
    3402                 :             :     }
    3403                 :             : 
    3404                 :       40178 :     result = aclmask(acl, roleid, ownerId, mask, how);
    3405                 :             : 
    3406                 :             :     /* if we have a detoasted copy, free it */
    3407   [ +  -  +  - ]:       40178 :     if (acl && acl != DatumGetPointer(aclDatum))
    3408                 :       40178 :         pfree(acl);
    3409                 :             : 
    3410                 :       40178 :     ReleaseSysCache(tuple);
    3411                 :             : 
    3412                 :             :     /*
    3413                 :             :      * Check if ACL_SELECT is being checked and, if so, and not set already as
    3414                 :             :      * part of the result, then check if the user is a member of the
    3415                 :             :      * pg_read_all_data role, which allows read access to all relations.
    3416                 :             :      */
    3417   [ +  +  +  +  :       44633 :     if (mask & ACL_SELECT && !(result & ACL_SELECT) &&
                   +  + ]
    3418                 :        4455 :         has_privs_of_role(roleid, ROLE_PG_READ_ALL_DATA))
    3419                 :           8 :         result |= ACL_SELECT;
    3420                 :             : 
    3421                 :             :     /*
    3422                 :             :      * Check if ACL_INSERT, ACL_UPDATE, or ACL_DELETE is being checked and, if
    3423                 :             :      * so, and not set already as part of the result, then check if the user
    3424                 :             :      * is a member of the pg_write_all_data role, which allows
    3425                 :             :      * INSERT/UPDATE/DELETE access to all relations (except system catalogs,
    3426                 :             :      * which requires superuser, see above).
    3427                 :             :      */
    3428         [ +  + ]:       40178 :     if (mask & (ACL_INSERT | ACL_UPDATE | ACL_DELETE) &&
    3429   [ +  +  +  + ]:        6056 :         !(result & (ACL_INSERT | ACL_UPDATE | ACL_DELETE)) &&
    3430                 :        1360 :         has_privs_of_role(roleid, ROLE_PG_WRITE_ALL_DATA))
    3431                 :          12 :         result |= (mask & (ACL_INSERT | ACL_UPDATE | ACL_DELETE));
    3432                 :             : 
    3433                 :             :     /*
    3434                 :             :      * Check if ACL_MAINTAIN is being checked and, if so, and not already set
    3435                 :             :      * as part of the result, then check if the user is a member of the
    3436                 :             :      * pg_maintain role, which allows VACUUM, ANALYZE, CLUSTER, REFRESH
    3437                 :             :      * MATERIALIZED VIEW, REINDEX, and LOCK TABLE on all relations.
    3438                 :             :      */
    3439         [ +  + ]:       40178 :     if (mask & ACL_MAINTAIN &&
    3440   [ +  +  +  + ]:       11437 :         !(result & ACL_MAINTAIN) &&
    3441                 :        5515 :         has_privs_of_role(roleid, ROLE_PG_MAINTAIN))
    3442                 :          44 :         result |= ACL_MAINTAIN;
    3443                 :             : 
    3444                 :       40178 :     return result;
    3445                 :             : }
    3446                 :             : 
    3447                 :             : /*
    3448                 :             :  * Routine for examining a user's privileges for a configuration
    3449                 :             :  * parameter (GUC), identified by GUC name.
    3450                 :             :  */
    3451                 :             : static AclMode
    3452                 :          80 : pg_parameter_aclmask(const char *name, Oid roleid, AclMode mask, AclMaskHow how)
    3453                 :             : {
    3454                 :             :     AclMode     result;
    3455                 :             :     char       *parname;
    3456                 :             :     text       *partext;
    3457                 :             :     HeapTuple   tuple;
    3458                 :             : 
    3459                 :             :     /* Superusers bypass all permission checking. */
    3460         [ +  + ]:          80 :     if (superuser_arg(roleid))
    3461                 :           1 :         return mask;
    3462                 :             : 
    3463                 :             :     /* Convert name to the form it should have in pg_parameter_acl... */
    3464                 :          79 :     parname = convert_GUC_name_for_parameter_acl(name);
    3465                 :          79 :     partext = cstring_to_text(parname);
    3466                 :             : 
    3467                 :             :     /* ... and look it up */
    3468                 :          79 :     tuple = SearchSysCache1(PARAMETERACLNAME, PointerGetDatum(partext));
    3469                 :             : 
    3470         [ +  + ]:          79 :     if (!HeapTupleIsValid(tuple))
    3471                 :             :     {
    3472                 :             :         /* If no entry, GUC has no permissions for non-superusers */
    3473                 :          35 :         result = ACL_NO_RIGHTS;
    3474                 :             :     }
    3475                 :             :     else
    3476                 :             :     {
    3477                 :             :         Datum       aclDatum;
    3478                 :             :         bool        isNull;
    3479                 :             :         Acl        *acl;
    3480                 :             : 
    3481                 :          44 :         aclDatum = SysCacheGetAttr(PARAMETERACLNAME, tuple,
    3482                 :             :                                    Anum_pg_parameter_acl_paracl,
    3483                 :             :                                    &isNull);
    3484         [ -  + ]:          44 :         if (isNull)
    3485                 :             :         {
    3486                 :             :             /* No ACL, so build default ACL */
    3487                 :           0 :             acl = acldefault(OBJECT_PARAMETER_ACL, BOOTSTRAP_SUPERUSERID);
    3488                 :           0 :             aclDatum = (Datum) 0;
    3489                 :             :         }
    3490                 :             :         else
    3491                 :             :         {
    3492                 :             :             /* detoast ACL if necessary */
    3493                 :          44 :             acl = DatumGetAclP(aclDatum);
    3494                 :             :         }
    3495                 :             : 
    3496                 :          44 :         result = aclmask(acl, roleid, BOOTSTRAP_SUPERUSERID, mask, how);
    3497                 :             : 
    3498                 :             :         /* if we have a detoasted copy, free it */
    3499   [ +  -  +  - ]:          44 :         if (acl && acl != DatumGetPointer(aclDatum))
    3500                 :          44 :             pfree(acl);
    3501                 :             : 
    3502                 :          44 :         ReleaseSysCache(tuple);
    3503                 :             :     }
    3504                 :             : 
    3505                 :          79 :     pfree(parname);
    3506                 :          79 :     pfree(partext);
    3507                 :             : 
    3508                 :          79 :     return result;
    3509                 :             : }
    3510                 :             : 
    3511                 :             : /*
    3512                 :             :  * Routine for examining a user's privileges for a configuration
    3513                 :             :  * parameter (GUC), identified by the OID of its pg_parameter_acl entry.
    3514                 :             :  */
    3515                 :             : static AclMode
    3516                 :           0 : pg_parameter_acl_aclmask(Oid acl_oid, Oid roleid, AclMode mask, AclMaskHow how)
    3517                 :             : {
    3518                 :             :     AclMode     result;
    3519                 :             :     HeapTuple   tuple;
    3520                 :             :     Datum       aclDatum;
    3521                 :             :     bool        isNull;
    3522                 :             :     Acl        *acl;
    3523                 :             : 
    3524                 :             :     /* Superusers bypass all permission checking. */
    3525         [ #  # ]:           0 :     if (superuser_arg(roleid))
    3526                 :           0 :         return mask;
    3527                 :             : 
    3528                 :             :     /* Get the ACL from pg_parameter_acl */
    3529                 :           0 :     tuple = SearchSysCache1(PARAMETERACLOID, ObjectIdGetDatum(acl_oid));
    3530         [ #  # ]:           0 :     if (!HeapTupleIsValid(tuple))
    3531         [ #  # ]:           0 :         ereport(ERROR,
    3532                 :             :                 (errcode(ERRCODE_UNDEFINED_OBJECT),
    3533                 :             :                  errmsg("parameter ACL with OID %u does not exist",
    3534                 :             :                         acl_oid)));
    3535                 :             : 
    3536                 :           0 :     aclDatum = SysCacheGetAttr(PARAMETERACLOID, tuple,
    3537                 :             :                                Anum_pg_parameter_acl_paracl,
    3538                 :             :                                &isNull);
    3539         [ #  # ]:           0 :     if (isNull)
    3540                 :             :     {
    3541                 :             :         /* No ACL, so build default ACL */
    3542                 :           0 :         acl = acldefault(OBJECT_PARAMETER_ACL, BOOTSTRAP_SUPERUSERID);
    3543                 :           0 :         aclDatum = (Datum) 0;
    3544                 :             :     }
    3545                 :             :     else
    3546                 :             :     {
    3547                 :             :         /* detoast ACL if necessary */
    3548                 :           0 :         acl = DatumGetAclP(aclDatum);
    3549                 :             :     }
    3550                 :             : 
    3551                 :           0 :     result = aclmask(acl, roleid, BOOTSTRAP_SUPERUSERID, mask, how);
    3552                 :             : 
    3553                 :             :     /* if we have a detoasted copy, free it */
    3554   [ #  #  #  # ]:           0 :     if (acl && acl != DatumGetPointer(aclDatum))
    3555                 :           0 :         pfree(acl);
    3556                 :             : 
    3557                 :           0 :     ReleaseSysCache(tuple);
    3558                 :             : 
    3559                 :           0 :     return result;
    3560                 :             : }
    3561                 :             : 
    3562                 :             : /*
    3563                 :             :  * Routine for examining a user's privileges for a largeobject
    3564                 :             :  *
    3565                 :             :  * When a large object is opened for reading, it is opened relative to the
    3566                 :             :  * caller's snapshot, but when it is opened for writing, a current
    3567                 :             :  * MVCC snapshot will be used.  See doc/src/sgml/lobj.sgml.  This function
    3568                 :             :  * takes a snapshot argument so that the permissions check can be made
    3569                 :             :  * relative to the same snapshot that will be used to read the underlying
    3570                 :             :  * data.  The caller will actually pass NULL for an instantaneous MVCC
    3571                 :             :  * snapshot, since all we do with the snapshot argument is pass it through
    3572                 :             :  * to systable_beginscan().
    3573                 :             :  */
    3574                 :             : static AclMode
    3575                 :         590 : pg_largeobject_aclmask_snapshot(Oid lobj_oid, Oid roleid,
    3576                 :             :                                 AclMode mask, AclMaskHow how,
    3577                 :             :                                 Snapshot snapshot)
    3578                 :             : {
    3579                 :             :     AclMode     result;
    3580                 :             :     Relation    pg_lo_meta;
    3581                 :             :     ScanKeyData entry[1];
    3582                 :             :     SysScanDesc scan;
    3583                 :             :     HeapTuple   tuple;
    3584                 :             :     Datum       aclDatum;
    3585                 :             :     bool        isNull;
    3586                 :             :     Acl        *acl;
    3587                 :             :     Oid         ownerId;
    3588                 :             : 
    3589                 :             :     /* Superusers bypass all permission checking. */
    3590         [ +  + ]:         590 :     if (superuser_arg(roleid))
    3591                 :         338 :         return mask;
    3592                 :             : 
    3593                 :             :     /*
    3594                 :             :      * Get the largeobject's ACL from pg_largeobject_metadata
    3595                 :             :      */
    3596                 :         252 :     pg_lo_meta = table_open(LargeObjectMetadataRelationId,
    3597                 :             :                             AccessShareLock);
    3598                 :             : 
    3599                 :         252 :     ScanKeyInit(&entry[0],
    3600                 :             :                 Anum_pg_largeobject_metadata_oid,
    3601                 :             :                 BTEqualStrategyNumber, F_OIDEQ,
    3602                 :             :                 ObjectIdGetDatum(lobj_oid));
    3603                 :             : 
    3604                 :         252 :     scan = systable_beginscan(pg_lo_meta,
    3605                 :             :                               LargeObjectMetadataOidIndexId, true,
    3606                 :             :                               snapshot, 1, entry);
    3607                 :             : 
    3608                 :         252 :     tuple = systable_getnext(scan);
    3609         [ -  + ]:         252 :     if (!HeapTupleIsValid(tuple))
    3610         [ #  # ]:           0 :         ereport(ERROR,
    3611                 :             :                 (errcode(ERRCODE_UNDEFINED_OBJECT),
    3612                 :             :                  errmsg("large object %u does not exist", lobj_oid)));
    3613                 :             : 
    3614                 :         252 :     ownerId = ((Form_pg_largeobject_metadata) GETSTRUCT(tuple))->lomowner;
    3615                 :             : 
    3616                 :         252 :     aclDatum = heap_getattr(tuple, Anum_pg_largeobject_metadata_lomacl,
    3617                 :             :                             RelationGetDescr(pg_lo_meta), &isNull);
    3618                 :             : 
    3619         [ +  + ]:         252 :     if (isNull)
    3620                 :             :     {
    3621                 :             :         /* No ACL, so build default ACL */
    3622                 :          48 :         acl = acldefault(OBJECT_LARGEOBJECT, ownerId);
    3623                 :          48 :         aclDatum = (Datum) 0;
    3624                 :             :     }
    3625                 :             :     else
    3626                 :             :     {
    3627                 :             :         /* detoast ACL if necessary */
    3628                 :         204 :         acl = DatumGetAclP(aclDatum);
    3629                 :             :     }
    3630                 :             : 
    3631                 :         252 :     result = aclmask(acl, roleid, ownerId, mask, how);
    3632                 :             : 
    3633                 :             :     /* if we have a detoasted copy, free it */
    3634   [ +  -  +  - ]:         252 :     if (acl && acl != DatumGetPointer(aclDatum))
    3635                 :         252 :         pfree(acl);
    3636                 :             : 
    3637                 :         252 :     systable_endscan(scan);
    3638                 :             : 
    3639                 :         252 :     table_close(pg_lo_meta, AccessShareLock);
    3640                 :             : 
    3641                 :             :     /*
    3642                 :             :      * Check if ACL_SELECT is being checked and, if so, and not set already as
    3643                 :             :      * part of the result, then check if the user has privileges of the
    3644                 :             :      * pg_read_all_data role, which allows read access to all large objects.
    3645                 :             :      */
    3646   [ +  +  +  +  :         320 :     if (mask & ACL_SELECT && !(result & ACL_SELECT) &&
                   +  + ]
    3647                 :          68 :         has_privs_of_role(roleid, ROLE_PG_READ_ALL_DATA))
    3648                 :          20 :         result |= ACL_SELECT;
    3649                 :             : 
    3650                 :             :     /*
    3651                 :             :      * Check if ACL_UPDATE is being checked and, if so, and not set already as
    3652                 :             :      * part of the result, then check if the user has privileges of the
    3653                 :             :      * pg_write_all_data role, which allows write access to all large objects.
    3654                 :             :      */
    3655   [ +  +  +  +  :         312 :     if (mask & ACL_UPDATE && !(result & ACL_UPDATE) &&
                   +  + ]
    3656                 :          60 :         has_privs_of_role(roleid, ROLE_PG_WRITE_ALL_DATA))
    3657                 :          12 :         result |= ACL_UPDATE;
    3658                 :             : 
    3659                 :         252 :     return result;
    3660                 :             : }
    3661                 :             : 
    3662                 :             : /*
    3663                 :             :  * Routine for examining a user's privileges for a namespace, with is_missing
    3664                 :             :  */
    3665                 :             : static AclMode
    3666                 :      635007 : pg_namespace_aclmask_ext(Oid nsp_oid, Oid roleid,
    3667                 :             :                          AclMode mask, AclMaskHow how,
    3668                 :             :                          bool *is_missing)
    3669                 :             : {
    3670                 :             :     AclMode     result;
    3671                 :             :     HeapTuple   tuple;
    3672                 :             :     Datum       aclDatum;
    3673                 :             :     bool        isNull;
    3674                 :             :     Acl        *acl;
    3675                 :             :     Oid         ownerId;
    3676                 :             : 
    3677                 :             :     /*
    3678                 :             :      * Disallow creation in the conflict schema for everyone, including
    3679                 :             :      * superusers, unless in binary-upgrade mode.
    3680                 :             :      */
    3681   [ +  +  +  +  :      749746 :     if (!IsBinaryUpgrade && (mask & ACL_CREATE) &&
                   +  + ]
    3682                 :      114739 :         IsConflictLogTableNamespace(nsp_oid))
    3683                 :           8 :         mask &= ~ACL_CREATE;
    3684                 :             : 
    3685                 :             :     /* Superusers bypass all permission checking. */
    3686         [ +  + ]:      635007 :     if (superuser_arg(roleid))
    3687                 :      622485 :         return mask;
    3688                 :             : 
    3689                 :             :     /*
    3690                 :             :      * If we have been assigned this namespace as a temp namespace, check to
    3691                 :             :      * make sure we have CREATE TEMP permission on the database, and if so act
    3692                 :             :      * as though we have all standard (but not GRANT OPTION) permissions on
    3693                 :             :      * the namespace.  If we don't have CREATE TEMP, act as though we have
    3694                 :             :      * only USAGE (and not CREATE) rights.
    3695                 :             :      *
    3696                 :             :      * This may seem redundant given the check in InitTempTableNamespace, but
    3697                 :             :      * it really isn't since current user ID may have changed since then. The
    3698                 :             :      * upshot of this behavior is that a SECURITY DEFINER function can create
    3699                 :             :      * temp tables that can then be accessed (if permission is granted) by
    3700                 :             :      * code in the same session that doesn't have permissions to create temp
    3701                 :             :      * tables.
    3702                 :             :      *
    3703                 :             :      * XXX Would it be safe to ereport a special error message as
    3704                 :             :      * InitTempTableNamespace does?  Returning zero here means we'll get a
    3705                 :             :      * generic "permission denied for schema pg_temp_N" message, which is not
    3706                 :             :      * remarkably user-friendly.
    3707                 :             :      */
    3708         [ +  + ]:       12522 :     if (isTempNamespace(nsp_oid))
    3709                 :             :     {
    3710         [ +  - ]:         213 :         if (object_aclcheck_ext(DatabaseRelationId, MyDatabaseId, roleid,
    3711                 :             :                                 ACL_CREATE_TEMP, is_missing) == ACLCHECK_OK)
    3712                 :         213 :             return mask & ACL_ALL_RIGHTS_SCHEMA;
    3713                 :             :         else
    3714                 :           0 :             return mask & ACL_USAGE;
    3715                 :             :     }
    3716                 :             : 
    3717                 :             :     /*
    3718                 :             :      * Get the schema's ACL from pg_namespace
    3719                 :             :      */
    3720                 :       12309 :     tuple = SearchSysCache1(NAMESPACEOID, ObjectIdGetDatum(nsp_oid));
    3721         [ -  + ]:       12309 :     if (!HeapTupleIsValid(tuple))
    3722                 :             :     {
    3723         [ #  # ]:           0 :         if (is_missing != NULL)
    3724                 :             :         {
    3725                 :             :             /* return "no privileges" instead of throwing an error */
    3726                 :           0 :             *is_missing = true;
    3727                 :           0 :             return 0;
    3728                 :             :         }
    3729                 :             :         else
    3730         [ #  # ]:           0 :             ereport(ERROR,
    3731                 :             :                     (errcode(ERRCODE_UNDEFINED_SCHEMA),
    3732                 :             :                      errmsg("schema with OID %u does not exist", nsp_oid)));
    3733                 :             :     }
    3734                 :             : 
    3735                 :       12309 :     ownerId = ((Form_pg_namespace) GETSTRUCT(tuple))->nspowner;
    3736                 :             : 
    3737                 :       12309 :     aclDatum = SysCacheGetAttr(NAMESPACEOID, tuple, Anum_pg_namespace_nspacl,
    3738                 :             :                                &isNull);
    3739         [ +  + ]:       12309 :     if (isNull)
    3740                 :             :     {
    3741                 :             :         /* No ACL, so build default ACL */
    3742                 :         201 :         acl = acldefault(OBJECT_SCHEMA, ownerId);
    3743                 :         201 :         aclDatum = (Datum) 0;
    3744                 :             :     }
    3745                 :             :     else
    3746                 :             :     {
    3747                 :             :         /* detoast ACL if necessary */
    3748                 :       12108 :         acl = DatumGetAclP(aclDatum);
    3749                 :             :     }
    3750                 :             : 
    3751                 :       12309 :     result = aclmask(acl, roleid, ownerId, mask, how);
    3752                 :             : 
    3753                 :             :     /* if we have a detoasted copy, free it */
    3754   [ +  -  +  - ]:       12309 :     if (acl && acl != DatumGetPointer(aclDatum))
    3755                 :       12309 :         pfree(acl);
    3756                 :             : 
    3757                 :       12309 :     ReleaseSysCache(tuple);
    3758                 :             : 
    3759                 :             :     /*
    3760                 :             :      * Check if ACL_USAGE is being checked and, if so, and not set already as
    3761                 :             :      * part of the result, then check if the user is a member of the
    3762                 :             :      * pg_read_all_data or pg_write_all_data roles, which allow usage access
    3763                 :             :      * to all schemas.
    3764                 :             :      */
    3765   [ +  +  +  +  :       12347 :     if (mask & ACL_USAGE && !(result & ACL_USAGE) &&
                   +  + ]
    3766         [ +  + ]:          72 :         (has_privs_of_role(roleid, ROLE_PG_READ_ALL_DATA) ||
    3767                 :          34 :          has_privs_of_role(roleid, ROLE_PG_WRITE_ALL_DATA)))
    3768                 :           9 :         result |= ACL_USAGE;
    3769                 :       12309 :     return result;
    3770                 :             : }
    3771                 :             : 
    3772                 :             : /*
    3773                 :             :  * Routine for examining a user's privileges for a type, with is_missing
    3774                 :             :  */
    3775                 :             : static AclMode
    3776                 :      214153 : pg_type_aclmask_ext(Oid type_oid, Oid roleid, AclMode mask, AclMaskHow how,
    3777                 :             :                     bool *is_missing)
    3778                 :             : {
    3779                 :             :     AclMode     result;
    3780                 :             :     HeapTuple   tuple;
    3781                 :             :     Form_pg_type typeForm;
    3782                 :             :     Datum       aclDatum;
    3783                 :             :     bool        isNull;
    3784                 :             :     Acl        *acl;
    3785                 :             :     Oid         ownerId;
    3786                 :             : 
    3787                 :             :     /* Bypass permission checks for superusers */
    3788         [ +  + ]:      214153 :     if (superuser_arg(roleid))
    3789                 :      211042 :         return mask;
    3790                 :             : 
    3791                 :             :     /*
    3792                 :             :      * Must get the type's tuple from pg_type
    3793                 :             :      */
    3794                 :        3111 :     tuple = SearchSysCache1(TYPEOID, ObjectIdGetDatum(type_oid));
    3795         [ -  + ]:        3111 :     if (!HeapTupleIsValid(tuple))
    3796                 :             :     {
    3797         [ #  # ]:           0 :         if (is_missing != NULL)
    3798                 :             :         {
    3799                 :             :             /* return "no privileges" instead of throwing an error */
    3800                 :           0 :             *is_missing = true;
    3801                 :           0 :             return 0;
    3802                 :             :         }
    3803                 :             :         else
    3804         [ #  # ]:           0 :             ereport(ERROR,
    3805                 :             :                     (errcode(ERRCODE_UNDEFINED_OBJECT),
    3806                 :             :                      errmsg("type with OID %u does not exist",
    3807                 :             :                             type_oid)));
    3808                 :             :     }
    3809                 :        3111 :     typeForm = (Form_pg_type) GETSTRUCT(tuple);
    3810                 :             : 
    3811                 :             :     /*
    3812                 :             :      * "True" array types don't manage permissions of their own; consult the
    3813                 :             :      * element type instead.
    3814                 :             :      */
    3815   [ +  +  +  + ]:        3111 :     if (IsTrueArrayType(typeForm))
    3816                 :             :     {
    3817                 :          32 :         Oid         elttype_oid = typeForm->typelem;
    3818                 :             : 
    3819                 :          32 :         ReleaseSysCache(tuple);
    3820                 :             : 
    3821                 :          32 :         tuple = SearchSysCache1(TYPEOID, ObjectIdGetDatum(elttype_oid));
    3822         [ -  + ]:          32 :         if (!HeapTupleIsValid(tuple))
    3823                 :             :         {
    3824         [ #  # ]:           0 :             if (is_missing != NULL)
    3825                 :             :             {
    3826                 :             :                 /* return "no privileges" instead of throwing an error */
    3827                 :           0 :                 *is_missing = true;
    3828                 :           0 :                 return 0;
    3829                 :             :             }
    3830                 :             :             else
    3831         [ #  # ]:           0 :                 ereport(ERROR,
    3832                 :             :                         (errcode(ERRCODE_UNDEFINED_OBJECT),
    3833                 :             :                          errmsg("type with OID %u does not exist",
    3834                 :             :                                 elttype_oid)));
    3835                 :             :         }
    3836                 :          32 :         typeForm = (Form_pg_type) GETSTRUCT(tuple);
    3837                 :             :     }
    3838                 :             : 
    3839                 :             :     /*
    3840                 :             :      * Likewise, multirange types don't manage their own permissions; consult
    3841                 :             :      * the associated range type.  (Note we must do this after the array step
    3842                 :             :      * to get the right answer for arrays of multiranges.)
    3843                 :             :      */
    3844         [ +  + ]:        3111 :     if (typeForm->typtype == TYPTYPE_MULTIRANGE)
    3845                 :             :     {
    3846                 :           8 :         Oid         rangetype = get_multirange_range(typeForm->oid);
    3847                 :             : 
    3848                 :           8 :         ReleaseSysCache(tuple);
    3849                 :             : 
    3850                 :           8 :         tuple = SearchSysCache1(TYPEOID, ObjectIdGetDatum(rangetype));
    3851         [ -  + ]:           8 :         if (!HeapTupleIsValid(tuple))
    3852                 :             :         {
    3853         [ #  # ]:           0 :             if (is_missing != NULL)
    3854                 :             :             {
    3855                 :             :                 /* return "no privileges" instead of throwing an error */
    3856                 :           0 :                 *is_missing = true;
    3857                 :           0 :                 return 0;
    3858                 :             :             }
    3859                 :             :             else
    3860         [ #  # ]:           0 :                 ereport(ERROR,
    3861                 :             :                         (errcode(ERRCODE_UNDEFINED_OBJECT),
    3862                 :             :                          errmsg("type with OID %u does not exist",
    3863                 :             :                                 rangetype)));
    3864                 :             :         }
    3865                 :           8 :         typeForm = (Form_pg_type) GETSTRUCT(tuple);
    3866                 :             :     }
    3867                 :             : 
    3868                 :             :     /*
    3869                 :             :      * Now get the type's owner and ACL from the tuple
    3870                 :             :      */
    3871                 :        3111 :     ownerId = typeForm->typowner;
    3872                 :             : 
    3873                 :        3111 :     aclDatum = SysCacheGetAttr(TYPEOID, tuple,
    3874                 :             :                                Anum_pg_type_typacl, &isNull);
    3875         [ +  + ]:        3111 :     if (isNull)
    3876                 :             :     {
    3877                 :             :         /* No ACL, so build default ACL */
    3878                 :        2955 :         acl = acldefault(OBJECT_TYPE, ownerId);
    3879                 :        2955 :         aclDatum = (Datum) 0;
    3880                 :             :     }
    3881                 :             :     else
    3882                 :             :     {
    3883                 :             :         /* detoast rel's ACL if necessary */
    3884                 :         156 :         acl = DatumGetAclP(aclDatum);
    3885                 :             :     }
    3886                 :             : 
    3887                 :        3111 :     result = aclmask(acl, roleid, ownerId, mask, how);
    3888                 :             : 
    3889                 :             :     /* if we have a detoasted copy, free it */
    3890   [ +  -  +  - ]:        3111 :     if (acl && acl != DatumGetPointer(aclDatum))
    3891                 :        3111 :         pfree(acl);
    3892                 :             : 
    3893                 :        3111 :     ReleaseSysCache(tuple);
    3894                 :             : 
    3895                 :        3111 :     return result;
    3896                 :             : }
    3897                 :             : 
    3898                 :             : /*
    3899                 :             :  * Exported generic routine for checking a user's access privileges to an object
    3900                 :             :  */
    3901                 :             : AclResult
    3902                 :     2076017 : object_aclcheck(Oid classid, Oid objectid, Oid roleid, AclMode mode)
    3903                 :             : {
    3904                 :     2076017 :     return object_aclcheck_ext(classid, objectid, roleid, mode, NULL);
    3905                 :             : }
    3906                 :             : 
    3907                 :             : /*
    3908                 :             :  * Exported generic routine for checking a user's access privileges to an
    3909                 :             :  * object, with is_missing
    3910                 :             :  */
    3911                 :             : AclResult
    3912                 :     2076302 : object_aclcheck_ext(Oid classid, Oid objectid,
    3913                 :             :                     Oid roleid, AclMode mode,
    3914                 :             :                     bool *is_missing)
    3915                 :             : {
    3916         [ +  + ]:     2076302 :     if (object_aclmask_ext(classid, objectid, roleid, mode, ACLMASK_ANY,
    3917                 :             :                            is_missing) != 0)
    3918                 :     2075889 :         return ACLCHECK_OK;
    3919                 :             :     else
    3920                 :         413 :         return ACLCHECK_NO_PRIV;
    3921                 :             : }
    3922                 :             : 
    3923                 :             : /*
    3924                 :             :  * Exported routine for checking a user's access privileges to a column
    3925                 :             :  *
    3926                 :             :  * Returns ACLCHECK_OK if the user has any of the privileges identified by
    3927                 :             :  * 'mode'; otherwise returns a suitable error code (in practice, always
    3928                 :             :  * ACLCHECK_NO_PRIV).
    3929                 :             :  *
    3930                 :             :  * As with pg_attribute_aclmask, only privileges granted directly on the
    3931                 :             :  * column are considered here.
    3932                 :             :  */
    3933                 :             : AclResult
    3934                 :        2957 : pg_attribute_aclcheck(Oid table_oid, AttrNumber attnum,
    3935                 :             :                       Oid roleid, AclMode mode)
    3936                 :             : {
    3937                 :        2957 :     return pg_attribute_aclcheck_ext(table_oid, attnum, roleid, mode, NULL);
    3938                 :             : }
    3939                 :             : 
    3940                 :             : 
    3941                 :             : /*
    3942                 :             :  * Exported routine for checking a user's access privileges to a column,
    3943                 :             :  * with is_missing
    3944                 :             :  */
    3945                 :             : AclResult
    3946                 :      391122 : pg_attribute_aclcheck_ext(Oid table_oid, AttrNumber attnum,
    3947                 :             :                           Oid roleid, AclMode mode, bool *is_missing)
    3948                 :             : {
    3949         [ +  + ]:      391122 :     if (pg_attribute_aclmask_ext(table_oid, attnum, roleid, mode,
    3950                 :             :                                  ACLMASK_ANY, is_missing) != 0)
    3951                 :        6227 :         return ACLCHECK_OK;
    3952                 :             :     else
    3953                 :      384895 :         return ACLCHECK_NO_PRIV;
    3954                 :             : }
    3955                 :             : 
    3956                 :             : /*
    3957                 :             :  * Exported routine for checking a user's access privileges to any/all columns
    3958                 :             :  *
    3959                 :             :  * If 'how' is ACLMASK_ANY, then returns ACLCHECK_OK if user has any of the
    3960                 :             :  * privileges identified by 'mode' on any non-dropped column in the relation;
    3961                 :             :  * otherwise returns a suitable error code (in practice, always
    3962                 :             :  * ACLCHECK_NO_PRIV).
    3963                 :             :  *
    3964                 :             :  * If 'how' is ACLMASK_ALL, then returns ACLCHECK_OK if user has any of the
    3965                 :             :  * privileges identified by 'mode' on each non-dropped column in the relation
    3966                 :             :  * (and there must be at least one such column); otherwise returns a suitable
    3967                 :             :  * error code (in practice, always ACLCHECK_NO_PRIV).
    3968                 :             :  *
    3969                 :             :  * As with pg_attribute_aclmask, only privileges granted directly on the
    3970                 :             :  * column(s) are considered here.
    3971                 :             :  *
    3972                 :             :  * Note: system columns are not considered here; there are cases where that
    3973                 :             :  * might be appropriate but there are also cases where it wouldn't.
    3974                 :             :  */
    3975                 :             : AclResult
    3976                 :         162 : pg_attribute_aclcheck_all(Oid table_oid, Oid roleid, AclMode mode,
    3977                 :             :                           AclMaskHow how)
    3978                 :             : {
    3979                 :         162 :     return pg_attribute_aclcheck_all_ext(table_oid, roleid, mode, how, NULL);
    3980                 :             : }
    3981                 :             : 
    3982                 :             : /*
    3983                 :             :  * Exported routine for checking a user's access privileges to any/all columns,
    3984                 :             :  * with is_missing
    3985                 :             :  */
    3986                 :             : AclResult
    3987                 :         162 : pg_attribute_aclcheck_all_ext(Oid table_oid, Oid roleid,
    3988                 :             :                               AclMode mode, AclMaskHow how,
    3989                 :             :                               bool *is_missing)
    3990                 :             : {
    3991                 :             :     AclResult   result;
    3992                 :             :     HeapTuple   classTuple;
    3993                 :             :     Form_pg_class classForm;
    3994                 :             :     Oid         ownerId;
    3995                 :             :     AttrNumber  nattrs;
    3996                 :             :     AttrNumber  curr_att;
    3997                 :             : 
    3998                 :             :     /*
    3999                 :             :      * Must fetch pg_class row to get owner ID and number of attributes.
    4000                 :             :      */
    4001                 :         162 :     classTuple = SearchSysCache1(RELOID, ObjectIdGetDatum(table_oid));
    4002         [ -  + ]:         162 :     if (!HeapTupleIsValid(classTuple))
    4003                 :             :     {
    4004         [ #  # ]:           0 :         if (is_missing != NULL)
    4005                 :             :         {
    4006                 :             :             /* return "no privileges" instead of throwing an error */
    4007                 :           0 :             *is_missing = true;
    4008                 :           0 :             return ACLCHECK_NO_PRIV;
    4009                 :             :         }
    4010                 :             :         else
    4011         [ #  # ]:           0 :             ereport(ERROR,
    4012                 :             :                     (errcode(ERRCODE_UNDEFINED_TABLE),
    4013                 :             :                      errmsg("relation with OID %u does not exist",
    4014                 :             :                             table_oid)));
    4015                 :             :     }
    4016                 :         162 :     classForm = (Form_pg_class) GETSTRUCT(classTuple);
    4017                 :             : 
    4018                 :         162 :     ownerId = classForm->relowner;
    4019                 :         162 :     nattrs = classForm->relnatts;
    4020                 :             : 
    4021                 :         162 :     ReleaseSysCache(classTuple);
    4022                 :             : 
    4023                 :             :     /*
    4024                 :             :      * Initialize result in case there are no non-dropped columns.  We want to
    4025                 :             :      * report failure in such cases for either value of 'how'.
    4026                 :             :      */
    4027                 :         162 :     result = ACLCHECK_NO_PRIV;
    4028                 :             : 
    4029         [ +  + ]:         386 :     for (curr_att = 1; curr_att <= nattrs; curr_att++)
    4030                 :             :     {
    4031                 :             :         HeapTuple   attTuple;
    4032                 :             :         Datum       aclDatum;
    4033                 :             :         bool        isNull;
    4034                 :             :         Acl        *acl;
    4035                 :             :         AclMode     attmask;
    4036                 :             : 
    4037                 :         310 :         attTuple = SearchSysCache2(ATTNUM,
    4038                 :             :                                    ObjectIdGetDatum(table_oid),
    4039                 :             :                                    Int16GetDatum(curr_att));
    4040                 :             : 
    4041                 :             :         /*
    4042                 :             :          * Lookup failure probably indicates that the table was just dropped,
    4043                 :             :          * but we'll treat it the same as a dropped column rather than
    4044                 :             :          * throwing error.
    4045                 :             :          */
    4046         [ -  + ]:         310 :         if (!HeapTupleIsValid(attTuple))
    4047                 :          12 :             continue;
    4048                 :             : 
    4049                 :             :         /* ignore dropped columns */
    4050         [ +  + ]:         310 :         if (((Form_pg_attribute) GETSTRUCT(attTuple))->attisdropped)
    4051                 :             :         {
    4052                 :          12 :             ReleaseSysCache(attTuple);
    4053                 :          12 :             continue;
    4054                 :             :         }
    4055                 :             : 
    4056                 :         298 :         aclDatum = SysCacheGetAttr(ATTNUM, attTuple, Anum_pg_attribute_attacl,
    4057                 :             :                                    &isNull);
    4058                 :             : 
    4059                 :             :         /*
    4060                 :             :          * Here we hard-wire knowledge that the default ACL for a column
    4061                 :             :          * grants no privileges, so that we can fall out quickly in the very
    4062                 :             :          * common case where attacl is null.
    4063                 :             :          */
    4064         [ +  + ]:         298 :         if (isNull)
    4065                 :         121 :             attmask = 0;
    4066                 :             :         else
    4067                 :             :         {
    4068                 :             :             /* detoast column's ACL if necessary */
    4069                 :         177 :             acl = DatumGetAclP(aclDatum);
    4070                 :             : 
    4071                 :         177 :             attmask = aclmask(acl, roleid, ownerId, mode, ACLMASK_ANY);
    4072                 :             : 
    4073                 :             :             /* if we have a detoasted copy, free it */
    4074         [ +  - ]:         177 :             if (acl != DatumGetPointer(aclDatum))
    4075                 :         177 :                 pfree(acl);
    4076                 :             :         }
    4077                 :             : 
    4078                 :         298 :         ReleaseSysCache(attTuple);
    4079                 :             : 
    4080         [ +  + ]:         298 :         if (attmask != 0)
    4081                 :             :         {
    4082                 :         117 :             result = ACLCHECK_OK;
    4083         [ +  + ]:         117 :             if (how == ACLMASK_ANY)
    4084                 :          86 :                 break;          /* succeed on any success */
    4085                 :             :         }
    4086                 :             :         else
    4087                 :             :         {
    4088                 :         181 :             result = ACLCHECK_NO_PRIV;
    4089         [ +  + ]:         181 :             if (how == ACLMASK_ALL)
    4090                 :          33 :                 break;          /* fail on any failure */
    4091                 :             :         }
    4092                 :             :     }
    4093                 :             : 
    4094                 :         162 :     return result;
    4095                 :             : }
    4096                 :             : 
    4097                 :             : /*
    4098                 :             :  * Exported routine for checking a user's access privileges to a table
    4099                 :             :  *
    4100                 :             :  * Returns ACLCHECK_OK if the user has any of the privileges identified by
    4101                 :             :  * 'mode'; otherwise returns a suitable error code (in practice, always
    4102                 :             :  * ACLCHECK_NO_PRIV).
    4103                 :             :  */
    4104                 :             : AclResult
    4105                 :     1613268 : pg_class_aclcheck(Oid table_oid, Oid roleid, AclMode mode)
    4106                 :             : {
    4107                 :     1613268 :     return pg_class_aclcheck_ext(table_oid, roleid, mode, NULL);
    4108                 :             : }
    4109                 :             : 
    4110                 :             : /*
    4111                 :             :  * Exported routine for checking a user's access privileges to a table,
    4112                 :             :  * with is_missing
    4113                 :             :  */
    4114                 :             : AclResult
    4115                 :     1996984 : pg_class_aclcheck_ext(Oid table_oid, Oid roleid,
    4116                 :             :                       AclMode mode, bool *is_missing)
    4117                 :             : {
    4118         [ +  + ]:     1996984 :     if (pg_class_aclmask_ext(table_oid, roleid, mode,
    4119                 :             :                              ACLMASK_ANY, is_missing) != 0)
    4120                 :     1988189 :         return ACLCHECK_OK;
    4121                 :             :     else
    4122                 :        8795 :         return ACLCHECK_NO_PRIV;
    4123                 :             : }
    4124                 :             : 
    4125                 :             : /*
    4126                 :             :  * Exported routine for checking a user's access privileges to a configuration
    4127                 :             :  * parameter (GUC), identified by GUC name.
    4128                 :             :  */
    4129                 :             : AclResult
    4130                 :          80 : pg_parameter_aclcheck(const char *name, Oid roleid, AclMode mode)
    4131                 :             : {
    4132         [ +  + ]:          80 :     if (pg_parameter_aclmask(name, roleid, mode, ACLMASK_ANY) != 0)
    4133                 :          34 :         return ACLCHECK_OK;
    4134                 :             :     else
    4135                 :          46 :         return ACLCHECK_NO_PRIV;
    4136                 :             : }
    4137                 :             : 
    4138                 :             : /*
    4139                 :             :  * Exported routine for checking a user's access privileges to a largeobject
    4140                 :             :  */
    4141                 :             : AclResult
    4142                 :         590 : pg_largeobject_aclcheck_snapshot(Oid lobj_oid, Oid roleid, AclMode mode,
    4143                 :             :                                  Snapshot snapshot)
    4144                 :             : {
    4145         [ +  + ]:         590 :     if (pg_largeobject_aclmask_snapshot(lobj_oid, roleid, mode,
    4146                 :             :                                         ACLMASK_ANY, snapshot) != 0)
    4147                 :         494 :         return ACLCHECK_OK;
    4148                 :             :     else
    4149                 :          96 :         return ACLCHECK_NO_PRIV;
    4150                 :             : }
    4151                 :             : 
    4152                 :             : /*
    4153                 :             :  * Generic ownership check for an object
    4154                 :             :  */
    4155                 :             : bool
    4156                 :      284548 : object_ownercheck(Oid classid, Oid objectid, Oid roleid)
    4157                 :             : {
    4158                 :             :     SysCacheIdentifier cacheid;
    4159                 :             :     Oid         ownerId;
    4160                 :             : 
    4161                 :             :     /* Superusers bypass all permission checking. */
    4162         [ +  + ]:      284548 :     if (superuser_arg(roleid))
    4163                 :      276142 :         return true;
    4164                 :             : 
    4165                 :             :     /* For large objects, the catalog to consult is pg_largeobject_metadata */
    4166         [ +  + ]:        8406 :     if (classid == LargeObjectRelationId)
    4167                 :          24 :         classid = LargeObjectMetadataRelationId;
    4168                 :             : 
    4169                 :        8406 :     cacheid = get_object_catcache_oid(classid);
    4170         [ +  + ]:        8406 :     if (cacheid != SYSCACHEID_INVALID)
    4171                 :             :     {
    4172                 :             :         /* we can get the object's tuple from the syscache */
    4173                 :             :         HeapTuple   tuple;
    4174                 :             : 
    4175                 :        8380 :         tuple = SearchSysCache1(cacheid, ObjectIdGetDatum(objectid));
    4176         [ -  + ]:        8380 :         if (!HeapTupleIsValid(tuple))
    4177         [ #  # ]:           0 :             elog(ERROR, "cache lookup failed for %s %u",
    4178                 :             :                  get_object_class_descr(classid), objectid);
    4179                 :             : 
    4180                 :        8380 :         ownerId = DatumGetObjectId(SysCacheGetAttrNotNull(cacheid,
    4181                 :             :                                                           tuple,
    4182                 :        8380 :                                                           get_object_attnum_owner(classid)));
    4183                 :        8380 :         ReleaseSysCache(tuple);
    4184                 :             :     }
    4185                 :             :     else
    4186                 :             :     {
    4187                 :             :         /* for catalogs without an appropriate syscache */
    4188                 :             :         Relation    rel;
    4189                 :             :         ScanKeyData entry[1];
    4190                 :             :         SysScanDesc scan;
    4191                 :             :         HeapTuple   tuple;
    4192                 :             :         bool        isnull;
    4193                 :             : 
    4194                 :          26 :         rel = table_open(classid, AccessShareLock);
    4195                 :             : 
    4196                 :          52 :         ScanKeyInit(&entry[0],
    4197                 :          26 :                     get_object_attnum_oid(classid),
    4198                 :             :                     BTEqualStrategyNumber, F_OIDEQ,
    4199                 :             :                     ObjectIdGetDatum(objectid));
    4200                 :             : 
    4201                 :          26 :         scan = systable_beginscan(rel,
    4202                 :             :                                   get_object_oid_index(classid), true,
    4203                 :             :                                   NULL, 1, entry);
    4204                 :             : 
    4205                 :          26 :         tuple = systable_getnext(scan);
    4206         [ -  + ]:          26 :         if (!HeapTupleIsValid(tuple))
    4207         [ #  # ]:           0 :             elog(ERROR, "could not find tuple for %s %u",
    4208                 :             :                  get_object_class_descr(classid), objectid);
    4209                 :             : 
    4210                 :          26 :         ownerId = DatumGetObjectId(heap_getattr(tuple,
    4211                 :          26 :                                                 get_object_attnum_owner(classid),
    4212                 :             :                                                 RelationGetDescr(rel),
    4213                 :             :                                                 &isnull));
    4214                 :             :         Assert(!isnull);
    4215                 :             : 
    4216                 :          26 :         systable_endscan(scan);
    4217                 :          26 :         table_close(rel, AccessShareLock);
    4218                 :             :     }
    4219                 :             : 
    4220                 :        8406 :     return has_privs_of_role(roleid, ownerId);
    4221                 :             : }
    4222                 :             : 
    4223                 :             : /*
    4224                 :             :  * Check whether specified role has CREATEROLE privilege (or is a superuser)
    4225                 :             :  *
    4226                 :             :  * Note: roles do not have owners per se; instead we use this test in
    4227                 :             :  * places where an ownership-like permissions test is needed for a role.
    4228                 :             :  * Be sure to apply it to the role trying to do the operation, not the
    4229                 :             :  * role being operated on!  Also note that this generally should not be
    4230                 :             :  * considered enough privilege if the target role is a superuser.
    4231                 :             :  * (We don't handle that consideration here because we want to give a
    4232                 :             :  * separate error message for such cases, so the caller has to deal with it.)
    4233                 :             :  */
    4234                 :             : bool
    4235                 :        1724 : has_createrole_privilege(Oid roleid)
    4236                 :             : {
    4237                 :        1724 :     bool        result = false;
    4238                 :             :     HeapTuple   utup;
    4239                 :             : 
    4240                 :             :     /* Superusers bypass all permission checking. */
    4241         [ +  + ]:        1724 :     if (superuser_arg(roleid))
    4242                 :        1362 :         return true;
    4243                 :             : 
    4244                 :         362 :     utup = SearchSysCache1(AUTHOID, ObjectIdGetDatum(roleid));
    4245         [ +  - ]:         362 :     if (HeapTupleIsValid(utup))
    4246                 :             :     {
    4247                 :         362 :         result = ((Form_pg_authid) GETSTRUCT(utup))->rolcreaterole;
    4248                 :         362 :         ReleaseSysCache(utup);
    4249                 :             :     }
    4250                 :         362 :     return result;
    4251                 :             : }
    4252                 :             : 
    4253                 :             : bool
    4254                 :        3798 : has_bypassrls_privilege(Oid roleid)
    4255                 :             : {
    4256                 :        3798 :     bool        result = false;
    4257                 :             :     HeapTuple   utup;
    4258                 :             : 
    4259                 :             :     /* Superusers bypass all permission checking. */
    4260         [ +  + ]:        3798 :     if (superuser_arg(roleid))
    4261                 :        1170 :         return true;
    4262                 :             : 
    4263                 :        2628 :     utup = SearchSysCache1(AUTHOID, ObjectIdGetDatum(roleid));
    4264         [ +  - ]:        2628 :     if (HeapTupleIsValid(utup))
    4265                 :             :     {
    4266                 :        2628 :         result = ((Form_pg_authid) GETSTRUCT(utup))->rolbypassrls;
    4267                 :        2628 :         ReleaseSysCache(utup);
    4268                 :             :     }
    4269                 :        2628 :     return result;
    4270                 :             : }
    4271                 :             : 
    4272                 :             : /*
    4273                 :             :  * Fetch pg_default_acl entry for given role, namespace and object type
    4274                 :             :  * (object type must be given in pg_default_acl's encoding).
    4275                 :             :  * Returns NULL if no such entry.
    4276                 :             :  */
    4277                 :             : static Acl *
    4278                 :      110358 : get_default_acl_internal(Oid roleId, Oid nsp_oid, char objtype)
    4279                 :             : {
    4280                 :      110358 :     Acl        *result = NULL;
    4281                 :             :     HeapTuple   tuple;
    4282                 :             : 
    4283                 :      110358 :     tuple = SearchSysCache3(DEFACLROLENSPOBJ,
    4284                 :             :                             ObjectIdGetDatum(roleId),
    4285                 :             :                             ObjectIdGetDatum(nsp_oid),
    4286                 :             :                             CharGetDatum(objtype));
    4287                 :             : 
    4288         [ +  + ]:      110358 :     if (HeapTupleIsValid(tuple))
    4289                 :             :     {
    4290                 :             :         Datum       aclDatum;
    4291                 :             :         bool        isNull;
    4292                 :             : 
    4293                 :         176 :         aclDatum = SysCacheGetAttr(DEFACLROLENSPOBJ, tuple,
    4294                 :             :                                    Anum_pg_default_acl_defaclacl,
    4295                 :             :                                    &isNull);
    4296         [ +  - ]:         176 :         if (!isNull)
    4297                 :         176 :             result = DatumGetAclPCopy(aclDatum);
    4298                 :         176 :         ReleaseSysCache(tuple);
    4299                 :             :     }
    4300                 :             : 
    4301                 :      110358 :     return result;
    4302                 :             : }
    4303                 :             : 
    4304                 :             : /*
    4305                 :             :  * Get default permissions for newly created object within given schema
    4306                 :             :  *
    4307                 :             :  * Returns NULL if built-in system defaults should be used.
    4308                 :             :  *
    4309                 :             :  * If the result is not NULL, caller must call recordDependencyOnNewAcl
    4310                 :             :  * once the OID of the new object is known.
    4311                 :             :  */
    4312                 :             : Acl *
    4313                 :       55179 : get_user_default_acl(ObjectType objtype, Oid ownerId, Oid nsp_oid)
    4314                 :             : {
    4315                 :             :     Acl        *result;
    4316                 :             :     Acl        *glob_acl;
    4317                 :             :     Acl        *schema_acl;
    4318                 :             :     Acl        *def_acl;
    4319                 :             :     char        defaclobjtype;
    4320                 :             : 
    4321                 :             :     /*
    4322                 :             :      * Use NULL during bootstrap, since pg_default_acl probably isn't there
    4323                 :             :      * yet.
    4324                 :             :      */
    4325         [ -  + ]:       55179 :     if (IsBootstrapProcessingMode())
    4326                 :           0 :         return NULL;
    4327                 :             : 
    4328                 :             :     /* Check if object type is supported in pg_default_acl */
    4329   [ +  +  +  +  :       55179 :     switch (objtype)
                +  +  - ]
    4330                 :             :     {
    4331                 :       38585 :         case OBJECT_TABLE:
    4332                 :       38585 :             defaclobjtype = DEFACLOBJ_RELATION;
    4333                 :       38585 :             break;
    4334                 :             : 
    4335                 :        1209 :         case OBJECT_SEQUENCE:
    4336                 :        1209 :             defaclobjtype = DEFACLOBJ_SEQUENCE;
    4337                 :        1209 :             break;
    4338                 :             : 
    4339                 :       10692 :         case OBJECT_FUNCTION:
    4340                 :       10692 :             defaclobjtype = DEFACLOBJ_FUNCTION;
    4341                 :       10692 :             break;
    4342                 :             : 
    4343                 :        3841 :         case OBJECT_TYPE:
    4344                 :        3841 :             defaclobjtype = DEFACLOBJ_TYPE;
    4345                 :        3841 :             break;
    4346                 :             : 
    4347                 :         748 :         case OBJECT_SCHEMA:
    4348                 :         748 :             defaclobjtype = DEFACLOBJ_NAMESPACE;
    4349                 :         748 :             break;
    4350                 :             : 
    4351                 :         104 :         case OBJECT_LARGEOBJECT:
    4352                 :         104 :             defaclobjtype = DEFACLOBJ_LARGEOBJECT;
    4353                 :         104 :             break;
    4354                 :             : 
    4355                 :           0 :         default:
    4356                 :           0 :             return NULL;
    4357                 :             :     }
    4358                 :             : 
    4359                 :             :     /* Look up the relevant pg_default_acl entries */
    4360                 :       55179 :     glob_acl = get_default_acl_internal(ownerId, InvalidOid, defaclobjtype);
    4361                 :       55179 :     schema_acl = get_default_acl_internal(ownerId, nsp_oid, defaclobjtype);
    4362                 :             : 
    4363                 :             :     /* Quick out if neither entry exists */
    4364   [ +  +  +  + ]:       55179 :     if (glob_acl == NULL && schema_acl == NULL)
    4365                 :       55039 :         return NULL;
    4366                 :             : 
    4367                 :             :     /* We need to know the hard-wired default value, too */
    4368                 :         140 :     def_acl = acldefault(objtype, ownerId);
    4369                 :             : 
    4370                 :             :     /* If there's no global entry, substitute the hard-wired default */
    4371         [ +  + ]:         140 :     if (glob_acl == NULL)
    4372                 :          12 :         glob_acl = def_acl;
    4373                 :             : 
    4374                 :             :     /* Merge in any per-schema privileges */
    4375                 :         140 :     result = aclmerge(glob_acl, schema_acl, ownerId);
    4376                 :             : 
    4377                 :             :     /*
    4378                 :             :      * For efficiency, we want to return NULL if the result equals default.
    4379                 :             :      * This requires sorting both arrays to get an accurate comparison.
    4380                 :             :      */
    4381                 :         140 :     aclitemsort(result);
    4382                 :         140 :     aclitemsort(def_acl);
    4383         [ +  + ]:         140 :     if (aclequal(result, def_acl))
    4384                 :          16 :         result = NULL;
    4385                 :             : 
    4386                 :         140 :     return result;
    4387                 :             : }
    4388                 :             : 
    4389                 :             : /*
    4390                 :             :  * Record dependencies on roles mentioned in a new object's ACL.
    4391                 :             :  */
    4392                 :             : void
    4393                 :       57735 : recordDependencyOnNewAcl(Oid classId, Oid objectId, int32 objsubId,
    4394                 :             :                          Oid ownerId, Acl *acl)
    4395                 :             : {
    4396                 :             :     int         nmembers;
    4397                 :             :     Oid        *members;
    4398                 :             : 
    4399                 :             :     /* Nothing to do if ACL is defaulted */
    4400         [ +  + ]:       57735 :     if (acl == NULL)
    4401                 :       57611 :         return;
    4402                 :             : 
    4403                 :             :     /* Extract roles mentioned in ACL */
    4404                 :         124 :     nmembers = aclmembers(acl, &members);
    4405                 :             : 
    4406                 :             :     /* Update the shared dependency ACL info */
    4407                 :         124 :     updateAclDependencies(classId, objectId, objsubId,
    4408                 :             :                           ownerId,
    4409                 :             :                           0, NULL,
    4410                 :             :                           nmembers, members);
    4411                 :             : }
    4412                 :             : 
    4413                 :             : /*
    4414                 :             :  * Record initial privileges for the top-level object passed in.
    4415                 :             :  *
    4416                 :             :  * For the object passed in, this will record its ACL (if any) and the ACLs of
    4417                 :             :  * any sub-objects (eg: columns) into pg_init_privs.
    4418                 :             :  */
    4419                 :             : void
    4420                 :          53 : recordExtObjInitPriv(Oid objoid, Oid classoid)
    4421                 :             : {
    4422                 :             :     /*
    4423                 :             :      * pg_class / pg_attribute
    4424                 :             :      *
    4425                 :             :      * If this is a relation then we need to see if there are any sub-objects
    4426                 :             :      * (eg: columns) for it and, if so, be sure to call
    4427                 :             :      * recordExtensionInitPrivWorker() for each one.
    4428                 :             :      */
    4429         [ +  + ]:          53 :     if (classoid == RelationRelationId)
    4430                 :             :     {
    4431                 :             :         Form_pg_class pg_class_tuple;
    4432                 :             :         Datum       aclDatum;
    4433                 :             :         bool        isNull;
    4434                 :             :         HeapTuple   tuple;
    4435                 :             : 
    4436                 :           8 :         tuple = SearchSysCache1(RELOID, ObjectIdGetDatum(objoid));
    4437         [ -  + ]:           8 :         if (!HeapTupleIsValid(tuple))
    4438         [ #  # ]:           0 :             elog(ERROR, "cache lookup failed for relation %u", objoid);
    4439                 :           8 :         pg_class_tuple = (Form_pg_class) GETSTRUCT(tuple);
    4440                 :             : 
    4441                 :             :         /*
    4442                 :             :          * Indexes don't have permissions, neither do the pg_class rows for
    4443                 :             :          * composite types.  (These cases are unreachable given the
    4444                 :             :          * restrictions in ALTER EXTENSION ADD, but let's check anyway.)
    4445                 :             :          */
    4446         [ +  - ]:           8 :         if (pg_class_tuple->relkind == RELKIND_INDEX ||
    4447         [ +  - ]:           8 :             pg_class_tuple->relkind == RELKIND_PARTITIONED_INDEX ||
    4448         [ -  + ]:           8 :             pg_class_tuple->relkind == RELKIND_COMPOSITE_TYPE)
    4449                 :             :         {
    4450                 :           0 :             ReleaseSysCache(tuple);
    4451                 :           0 :             return;
    4452                 :             :         }
    4453                 :             : 
    4454                 :             :         /*
    4455                 :             :          * If this isn't a sequence then it's possibly going to have
    4456                 :             :          * column-level ACLs associated with it.
    4457                 :             :          */
    4458         [ +  + ]:           8 :         if (pg_class_tuple->relkind != RELKIND_SEQUENCE)
    4459                 :             :         {
    4460                 :             :             AttrNumber  curr_att;
    4461                 :           7 :             AttrNumber  nattrs = pg_class_tuple->relnatts;
    4462                 :             : 
    4463         [ +  + ]:          19 :             for (curr_att = 1; curr_att <= nattrs; curr_att++)
    4464                 :             :             {
    4465                 :             :                 HeapTuple   attTuple;
    4466                 :             :                 Datum       attaclDatum;
    4467                 :             : 
    4468                 :          12 :                 attTuple = SearchSysCache2(ATTNUM,
    4469                 :             :                                            ObjectIdGetDatum(objoid),
    4470                 :             :                                            Int16GetDatum(curr_att));
    4471                 :             : 
    4472         [ -  + ]:          12 :                 if (!HeapTupleIsValid(attTuple))
    4473                 :           0 :                     continue;
    4474                 :             : 
    4475                 :             :                 /* ignore dropped columns */
    4476         [ +  + ]:          12 :                 if (((Form_pg_attribute) GETSTRUCT(attTuple))->attisdropped)
    4477                 :             :                 {
    4478                 :           1 :                     ReleaseSysCache(attTuple);
    4479                 :           1 :                     continue;
    4480                 :             :                 }
    4481                 :             : 
    4482                 :          11 :                 attaclDatum = SysCacheGetAttr(ATTNUM, attTuple,
    4483                 :             :                                               Anum_pg_attribute_attacl,
    4484                 :             :                                               &isNull);
    4485                 :             : 
    4486                 :             :                 /* no need to do anything for a NULL ACL */
    4487         [ +  + ]:          11 :                 if (isNull)
    4488                 :             :                 {
    4489                 :           9 :                     ReleaseSysCache(attTuple);
    4490                 :           9 :                     continue;
    4491                 :             :                 }
    4492                 :             : 
    4493                 :           2 :                 recordExtensionInitPrivWorker(objoid, classoid, curr_att,
    4494                 :           2 :                                               DatumGetAclP(attaclDatum));
    4495                 :             : 
    4496                 :           2 :                 ReleaseSysCache(attTuple);
    4497                 :             :             }
    4498                 :             :         }
    4499                 :             : 
    4500                 :           8 :         aclDatum = SysCacheGetAttr(RELOID, tuple, Anum_pg_class_relacl,
    4501                 :             :                                    &isNull);
    4502                 :             : 
    4503                 :             :         /* Add the record, if any, for the top-level object */
    4504         [ +  + ]:           8 :         if (!isNull)
    4505                 :           4 :             recordExtensionInitPrivWorker(objoid, classoid, 0,
    4506                 :           4 :                                           DatumGetAclP(aclDatum));
    4507                 :             : 
    4508                 :           8 :         ReleaseSysCache(tuple);
    4509                 :             :     }
    4510         [ -  + ]:          45 :     else if (classoid == LargeObjectRelationId)
    4511                 :             :     {
    4512                 :             :         /* For large objects, we must consult pg_largeobject_metadata */
    4513                 :             :         Datum       aclDatum;
    4514                 :             :         bool        isNull;
    4515                 :             :         HeapTuple   tuple;
    4516                 :             :         ScanKeyData entry[1];
    4517                 :             :         SysScanDesc scan;
    4518                 :             :         Relation    relation;
    4519                 :             : 
    4520                 :             :         /*
    4521                 :             :          * Note: this is dead code, given that we don't allow large objects to
    4522                 :             :          * be made extension members.  But it seems worth carrying in case
    4523                 :             :          * some future caller of this function has need for it.
    4524                 :             :          */
    4525                 :           0 :         relation = table_open(LargeObjectMetadataRelationId, RowExclusiveLock);
    4526                 :             : 
    4527                 :             :         /* There's no syscache for pg_largeobject_metadata */
    4528                 :           0 :         ScanKeyInit(&entry[0],
    4529                 :             :                     Anum_pg_largeobject_metadata_oid,
    4530                 :             :                     BTEqualStrategyNumber, F_OIDEQ,
    4531                 :             :                     ObjectIdGetDatum(objoid));
    4532                 :             : 
    4533                 :           0 :         scan = systable_beginscan(relation,
    4534                 :             :                                   LargeObjectMetadataOidIndexId, true,
    4535                 :             :                                   NULL, 1, entry);
    4536                 :             : 
    4537                 :           0 :         tuple = systable_getnext(scan);
    4538         [ #  # ]:           0 :         if (!HeapTupleIsValid(tuple))
    4539         [ #  # ]:           0 :             elog(ERROR, "could not find tuple for large object %u", objoid);
    4540                 :             : 
    4541                 :           0 :         aclDatum = heap_getattr(tuple,
    4542                 :             :                                 Anum_pg_largeobject_metadata_lomacl,
    4543                 :             :                                 RelationGetDescr(relation), &isNull);
    4544                 :             : 
    4545                 :             :         /* Add the record, if any, for the top-level object */
    4546         [ #  # ]:           0 :         if (!isNull)
    4547                 :           0 :             recordExtensionInitPrivWorker(objoid, classoid, 0,
    4548                 :           0 :                                           DatumGetAclP(aclDatum));
    4549                 :             : 
    4550                 :           0 :         systable_endscan(scan);
    4551                 :             :     }
    4552                 :             :     /* This will error on unsupported classoid. */
    4553         [ +  + ]:          45 :     else if (get_object_attnum_acl(classoid) != InvalidAttrNumber)
    4554                 :             :     {
    4555                 :             :         SysCacheIdentifier cacheid;
    4556                 :             :         Datum       aclDatum;
    4557                 :             :         bool        isNull;
    4558                 :             :         HeapTuple   tuple;
    4559                 :             : 
    4560                 :          34 :         cacheid = get_object_catcache_oid(classoid);
    4561                 :          34 :         tuple = SearchSysCache1(cacheid, ObjectIdGetDatum(objoid));
    4562         [ -  + ]:          34 :         if (!HeapTupleIsValid(tuple))
    4563         [ #  # ]:           0 :             elog(ERROR, "cache lookup failed for %s %u",
    4564                 :             :                  get_object_class_descr(classoid), objoid);
    4565                 :             : 
    4566                 :          34 :         aclDatum = SysCacheGetAttr(cacheid, tuple,
    4567                 :          34 :                                    get_object_attnum_acl(classoid),
    4568                 :             :                                    &isNull);
    4569                 :             : 
    4570                 :             :         /* Add the record, if any, for the top-level object */
    4571         [ +  + ]:          34 :         if (!isNull)
    4572                 :           5 :             recordExtensionInitPrivWorker(objoid, classoid, 0,
    4573                 :           5 :                                           DatumGetAclP(aclDatum));
    4574                 :             : 
    4575                 :          34 :         ReleaseSysCache(tuple);
    4576                 :             :     }
    4577                 :             : }
    4578                 :             : 
    4579                 :             : /*
    4580                 :             :  * For the object passed in, remove its ACL and the ACLs of any object subIds
    4581                 :             :  * from pg_init_privs (via recordExtensionInitPrivWorker()).
    4582                 :             :  */
    4583                 :             : void
    4584                 :         158 : removeExtObjInitPriv(Oid objoid, Oid classoid)
    4585                 :             : {
    4586                 :             :     /*
    4587                 :             :      * If this is a relation then we need to see if there are any sub-objects
    4588                 :             :      * (eg: columns) for it and, if so, be sure to call
    4589                 :             :      * recordExtensionInitPrivWorker() for each one.
    4590                 :             :      */
    4591         [ +  + ]:         158 :     if (classoid == RelationRelationId)
    4592                 :             :     {
    4593                 :             :         Form_pg_class pg_class_tuple;
    4594                 :             :         HeapTuple   tuple;
    4595                 :             : 
    4596                 :          30 :         tuple = SearchSysCache1(RELOID, ObjectIdGetDatum(objoid));
    4597         [ -  + ]:          30 :         if (!HeapTupleIsValid(tuple))
    4598         [ #  # ]:           0 :             elog(ERROR, "cache lookup failed for relation %u", objoid);
    4599                 :          30 :         pg_class_tuple = (Form_pg_class) GETSTRUCT(tuple);
    4600                 :             : 
    4601                 :             :         /*
    4602                 :             :          * Indexes don't have permissions, neither do the pg_class rows for
    4603                 :             :          * composite types.  (These cases are unreachable given the
    4604                 :             :          * restrictions in ALTER EXTENSION DROP, but let's check anyway.)
    4605                 :             :          */
    4606         [ +  - ]:          30 :         if (pg_class_tuple->relkind == RELKIND_INDEX ||
    4607         [ +  - ]:          30 :             pg_class_tuple->relkind == RELKIND_PARTITIONED_INDEX ||
    4608         [ -  + ]:          30 :             pg_class_tuple->relkind == RELKIND_COMPOSITE_TYPE)
    4609                 :             :         {
    4610                 :           0 :             ReleaseSysCache(tuple);
    4611                 :           0 :             return;
    4612                 :             :         }
    4613                 :             : 
    4614                 :             :         /*
    4615                 :             :          * If this isn't a sequence then it's possibly going to have
    4616                 :             :          * column-level ACLs associated with it.
    4617                 :             :          */
    4618         [ +  - ]:          30 :         if (pg_class_tuple->relkind != RELKIND_SEQUENCE)
    4619                 :             :         {
    4620                 :             :             AttrNumber  curr_att;
    4621                 :          30 :             AttrNumber  nattrs = pg_class_tuple->relnatts;
    4622                 :             : 
    4623         [ +  + ]:         984 :             for (curr_att = 1; curr_att <= nattrs; curr_att++)
    4624                 :             :             {
    4625                 :             :                 HeapTuple   attTuple;
    4626                 :             : 
    4627                 :         954 :                 attTuple = SearchSysCache2(ATTNUM,
    4628                 :             :                                            ObjectIdGetDatum(objoid),
    4629                 :             :                                            Int16GetDatum(curr_att));
    4630                 :             : 
    4631         [ -  + ]:         954 :                 if (!HeapTupleIsValid(attTuple))
    4632                 :           0 :                     continue;
    4633                 :             : 
    4634                 :             :                 /* when removing, remove all entries, even dropped columns */
    4635                 :             : 
    4636                 :         954 :                 recordExtensionInitPrivWorker(objoid, classoid, curr_att, NULL);
    4637                 :             : 
    4638                 :         954 :                 ReleaseSysCache(attTuple);
    4639                 :             :             }
    4640                 :             :         }
    4641                 :             : 
    4642                 :          30 :         ReleaseSysCache(tuple);
    4643                 :             :     }
    4644                 :             : 
    4645                 :             :     /* Remove the record, if any, for the top-level object */
    4646                 :         158 :     recordExtensionInitPrivWorker(objoid, classoid, 0, NULL);
    4647                 :             : }
    4648                 :             : 
    4649                 :             : /*
    4650                 :             :  * Record initial ACL for an extension object
    4651                 :             :  *
    4652                 :             :  * Can be called at any time, we check if 'creating_extension' is set and, if
    4653                 :             :  * not, exit immediately.
    4654                 :             :  *
    4655                 :             :  * Pass in the object OID, the OID of the class (the OID of the table which
    4656                 :             :  * the object is defined in) and the 'sub' id of the object (objsubid), if
    4657                 :             :  * any.  If there is no 'sub' id (they are currently only used for columns of
    4658                 :             :  * tables) then pass in '0'.  Finally, pass in the complete ACL to store.
    4659                 :             :  *
    4660                 :             :  * If an ACL already exists for this object/sub-object then we will replace
    4661                 :             :  * it with what is passed in.
    4662                 :             :  *
    4663                 :             :  * Passing in NULL for 'new_acl' will result in the entry for the object being
    4664                 :             :  * removed, if one is found.
    4665                 :             :  */
    4666                 :             : static void
    4667                 :       14403 : recordExtensionInitPriv(Oid objoid, Oid classoid, int objsubid, Acl *new_acl)
    4668                 :             : {
    4669                 :             :     /*
    4670                 :             :      * Generally, we only record the initial privileges when an extension is
    4671                 :             :      * being created, but because we don't actually use CREATE EXTENSION
    4672                 :             :      * during binary upgrades with pg_upgrade, there is a variable to let us
    4673                 :             :      * know that the GRANT and REVOKE statements being issued, while this
    4674                 :             :      * variable is true, are for the initial privileges of the extension
    4675                 :             :      * object and therefore we need to record them.
    4676                 :             :      */
    4677   [ +  +  +  - ]:       14403 :     if (!creating_extension && !binary_upgrade_record_init_privs)
    4678                 :       13997 :         return;
    4679                 :             : 
    4680                 :         406 :     recordExtensionInitPrivWorker(objoid, classoid, objsubid, new_acl);
    4681                 :             : }
    4682                 :             : 
    4683                 :             : /*
    4684                 :             :  * Record initial ACL for an extension object, worker.
    4685                 :             :  *
    4686                 :             :  * This will perform a wholesale replacement of the entire ACL for the object
    4687                 :             :  * passed in, therefore be sure to pass in the complete new ACL to use.
    4688                 :             :  *
    4689                 :             :  * Generally speaking, do *not* use this function directly but instead use
    4690                 :             :  * recordExtensionInitPriv(), which checks if 'creating_extension' is set.
    4691                 :             :  * This function does *not* check if 'creating_extension' is set as it is also
    4692                 :             :  * used when an object is added to or removed from an extension via ALTER
    4693                 :             :  * EXTENSION ... ADD/DROP.
    4694                 :             :  */
    4695                 :             : static void
    4696                 :        1529 : recordExtensionInitPrivWorker(Oid objoid, Oid classoid, int objsubid,
    4697                 :             :                               Acl *new_acl)
    4698                 :             : {
    4699                 :             :     Relation    relation;
    4700                 :             :     ScanKeyData key[3];
    4701                 :             :     SysScanDesc scan;
    4702                 :             :     HeapTuple   tuple;
    4703                 :             :     HeapTuple   oldtuple;
    4704                 :             :     int         noldmembers;
    4705                 :             :     int         nnewmembers;
    4706                 :             :     Oid        *oldmembers;
    4707                 :             :     Oid        *newmembers;
    4708                 :             : 
    4709                 :             :     /* We'll need the role membership of the new ACL. */
    4710                 :        1529 :     nnewmembers = aclmembers(new_acl, &newmembers);
    4711                 :             : 
    4712                 :             :     /* Search pg_init_privs for an existing entry. */
    4713                 :        1529 :     relation = table_open(InitPrivsRelationId, RowExclusiveLock);
    4714                 :             : 
    4715                 :        1529 :     ScanKeyInit(&key[0],
    4716                 :             :                 Anum_pg_init_privs_objoid,
    4717                 :             :                 BTEqualStrategyNumber, F_OIDEQ,
    4718                 :             :                 ObjectIdGetDatum(objoid));
    4719                 :        1529 :     ScanKeyInit(&key[1],
    4720                 :             :                 Anum_pg_init_privs_classoid,
    4721                 :             :                 BTEqualStrategyNumber, F_OIDEQ,
    4722                 :             :                 ObjectIdGetDatum(classoid));
    4723                 :        1529 :     ScanKeyInit(&key[2],
    4724                 :             :                 Anum_pg_init_privs_objsubid,
    4725                 :             :                 BTEqualStrategyNumber, F_INT4EQ,
    4726                 :             :                 Int32GetDatum(objsubid));
    4727                 :             : 
    4728                 :        1529 :     scan = systable_beginscan(relation, InitPrivsObjIndexId, true,
    4729                 :             :                               NULL, 3, key);
    4730                 :             : 
    4731                 :             :     /* There should exist only one entry or none. */
    4732                 :        1529 :     oldtuple = systable_getnext(scan);
    4733                 :             : 
    4734                 :             :     /* If we find an entry, update it with the latest ACL. */
    4735         [ +  + ]:        1529 :     if (HeapTupleIsValid(oldtuple))
    4736                 :             :     {
    4737                 :         132 :         Datum       values[Natts_pg_init_privs] = {0};
    4738                 :         132 :         bool        nulls[Natts_pg_init_privs] = {0};
    4739                 :         132 :         bool        replace[Natts_pg_init_privs] = {0};
    4740                 :             :         Datum       oldAclDatum;
    4741                 :             :         bool        isNull;
    4742                 :             :         Acl        *old_acl;
    4743                 :             : 
    4744                 :             :         /* Update pg_shdepend for roles mentioned in the old/new ACLs. */
    4745                 :         132 :         oldAclDatum = heap_getattr(oldtuple, Anum_pg_init_privs_initprivs,
    4746                 :             :                                    RelationGetDescr(relation), &isNull);
    4747                 :             :         Assert(!isNull);
    4748                 :         132 :         old_acl = DatumGetAclP(oldAclDatum);
    4749                 :         132 :         noldmembers = aclmembers(old_acl, &oldmembers);
    4750                 :             : 
    4751                 :         132 :         updateInitAclDependencies(classoid, objoid, objsubid,
    4752                 :             :                                   noldmembers, oldmembers,
    4753                 :             :                                   nnewmembers, newmembers);
    4754                 :             : 
    4755                 :             :         /* If we have a new ACL to set, then update the row with it. */
    4756   [ +  +  +  - ]:         132 :         if (new_acl && ACL_NUM(new_acl) != 0)
    4757                 :             :         {
    4758                 :          89 :             values[Anum_pg_init_privs_initprivs - 1] = PointerGetDatum(new_acl);
    4759                 :          89 :             replace[Anum_pg_init_privs_initprivs - 1] = true;
    4760                 :             : 
    4761                 :          89 :             oldtuple = heap_modify_tuple(oldtuple, RelationGetDescr(relation),
    4762                 :             :                                          values, nulls, replace);
    4763                 :             : 
    4764                 :          89 :             CatalogTupleUpdate(relation, &oldtuple->t_self, oldtuple);
    4765                 :             :         }
    4766                 :             :         else
    4767                 :             :         {
    4768                 :             :             /* new_acl is NULL/empty, so delete the entry we found. */
    4769                 :          43 :             CatalogTupleDelete(relation, &oldtuple->t_self);
    4770                 :             :         }
    4771                 :             :     }
    4772                 :             :     else
    4773                 :             :     {
    4774                 :        1397 :         Datum       values[Natts_pg_init_privs] = {0};
    4775                 :        1397 :         bool        nulls[Natts_pg_init_privs] = {0};
    4776                 :             : 
    4777                 :             :         /*
    4778                 :             :          * Only add a new entry if the new ACL is non-NULL.
    4779                 :             :          *
    4780                 :             :          * If we are passed in a NULL ACL and no entry exists, we can just
    4781                 :             :          * fall through and do nothing.
    4782                 :             :          */
    4783   [ +  +  +  - ]:        1397 :         if (new_acl && ACL_NUM(new_acl) != 0)
    4784                 :             :         {
    4785                 :             :             /* No entry found, so add it. */
    4786                 :         325 :             values[Anum_pg_init_privs_objoid - 1] = ObjectIdGetDatum(objoid);
    4787                 :         325 :             values[Anum_pg_init_privs_classoid - 1] = ObjectIdGetDatum(classoid);
    4788                 :         325 :             values[Anum_pg_init_privs_objsubid - 1] = Int32GetDatum(objsubid);
    4789                 :             : 
    4790                 :             :             /* This function only handles initial privileges of extensions */
    4791                 :         325 :             values[Anum_pg_init_privs_privtype - 1] =
    4792                 :         325 :                 CharGetDatum(INITPRIVS_EXTENSION);
    4793                 :             : 
    4794                 :         325 :             values[Anum_pg_init_privs_initprivs - 1] = PointerGetDatum(new_acl);
    4795                 :             : 
    4796                 :         325 :             tuple = heap_form_tuple(RelationGetDescr(relation), values, nulls);
    4797                 :             : 
    4798                 :         325 :             CatalogTupleInsert(relation, tuple);
    4799                 :             : 
    4800                 :             :             /* Update pg_shdepend, too. */
    4801                 :         325 :             noldmembers = 0;
    4802                 :         325 :             oldmembers = NULL;
    4803                 :             : 
    4804                 :         325 :             updateInitAclDependencies(classoid, objoid, objsubid,
    4805                 :             :                                       noldmembers, oldmembers,
    4806                 :             :                                       nnewmembers, newmembers);
    4807                 :             :         }
    4808                 :             :     }
    4809                 :             : 
    4810                 :        1529 :     systable_endscan(scan);
    4811                 :             : 
    4812                 :             :     /* prevent error when processing objects multiple times */
    4813                 :        1529 :     CommandCounterIncrement();
    4814                 :             : 
    4815                 :        1529 :     table_close(relation, RowExclusiveLock);
    4816                 :        1529 : }
    4817                 :             : 
    4818                 :             : /*
    4819                 :             :  * ReplaceRoleInInitPriv
    4820                 :             :  *
    4821                 :             :  * Used by shdepReassignOwned to replace mentions of a role in pg_init_privs.
    4822                 :             :  */
    4823                 :             : void
    4824                 :          12 : ReplaceRoleInInitPriv(Oid oldroleid, Oid newroleid,
    4825                 :             :                       Oid classid, Oid objid, int32 objsubid)
    4826                 :             : {
    4827                 :             :     Relation    rel;
    4828                 :             :     ScanKeyData key[3];
    4829                 :             :     SysScanDesc scan;
    4830                 :             :     HeapTuple   oldtuple;
    4831                 :             :     Datum       oldAclDatum;
    4832                 :             :     bool        isNull;
    4833                 :             :     Acl        *old_acl;
    4834                 :             :     Acl        *new_acl;
    4835                 :             :     HeapTuple   newtuple;
    4836                 :             :     int         noldmembers;
    4837                 :             :     int         nnewmembers;
    4838                 :             :     Oid        *oldmembers;
    4839                 :             :     Oid        *newmembers;
    4840                 :             : 
    4841                 :             :     /* Search for existing pg_init_privs entry for the target object. */
    4842                 :          12 :     rel = table_open(InitPrivsRelationId, RowExclusiveLock);
    4843                 :             : 
    4844                 :          12 :     ScanKeyInit(&key[0],
    4845                 :             :                 Anum_pg_init_privs_objoid,
    4846                 :             :                 BTEqualStrategyNumber, F_OIDEQ,
    4847                 :             :                 ObjectIdGetDatum(objid));
    4848                 :          12 :     ScanKeyInit(&key[1],
    4849                 :             :                 Anum_pg_init_privs_classoid,
    4850                 :             :                 BTEqualStrategyNumber, F_OIDEQ,
    4851                 :             :                 ObjectIdGetDatum(classid));
    4852                 :          12 :     ScanKeyInit(&key[2],
    4853                 :             :                 Anum_pg_init_privs_objsubid,
    4854                 :             :                 BTEqualStrategyNumber, F_INT4EQ,
    4855                 :             :                 Int32GetDatum(objsubid));
    4856                 :             : 
    4857                 :          12 :     scan = systable_beginscan(rel, InitPrivsObjIndexId, true,
    4858                 :             :                               NULL, 3, key);
    4859                 :             : 
    4860                 :             :     /* There should exist only one entry or none. */
    4861                 :          12 :     oldtuple = systable_getnext(scan);
    4862                 :             : 
    4863         [ -  + ]:          12 :     if (!HeapTupleIsValid(oldtuple))
    4864                 :             :     {
    4865                 :             :         /*
    4866                 :             :          * Hmm, why are we here if there's no entry?  But pack up and go away
    4867                 :             :          * quietly.
    4868                 :             :          */
    4869                 :           0 :         systable_endscan(scan);
    4870                 :           0 :         table_close(rel, RowExclusiveLock);
    4871                 :           0 :         return;
    4872                 :             :     }
    4873                 :             : 
    4874                 :             :     /* Get a writable copy of the existing ACL. */
    4875                 :          12 :     oldAclDatum = heap_getattr(oldtuple, Anum_pg_init_privs_initprivs,
    4876                 :             :                                RelationGetDescr(rel), &isNull);
    4877                 :             :     Assert(!isNull);
    4878                 :          12 :     old_acl = DatumGetAclPCopy(oldAclDatum);
    4879                 :             : 
    4880                 :             :     /*
    4881                 :             :      * Generate new ACL.  This usage of aclnewowner is a bit off-label when
    4882                 :             :      * oldroleid isn't the owner; but it does the job fine.
    4883                 :             :      */
    4884                 :          12 :     new_acl = aclnewowner(old_acl, oldroleid, newroleid);
    4885                 :             : 
    4886                 :             :     /*
    4887                 :             :      * If we end with an empty ACL, delete the pg_init_privs entry.  (That
    4888                 :             :      * probably can't happen here, but we may as well cover the case.)
    4889                 :             :      */
    4890   [ +  -  -  + ]:          12 :     if (new_acl == NULL || ACL_NUM(new_acl) == 0)
    4891                 :             :     {
    4892                 :           0 :         CatalogTupleDelete(rel, &oldtuple->t_self);
    4893                 :             :     }
    4894                 :             :     else
    4895                 :             :     {
    4896                 :          12 :         Datum       values[Natts_pg_init_privs] = {0};
    4897                 :          12 :         bool        nulls[Natts_pg_init_privs] = {0};
    4898                 :          12 :         bool        replaces[Natts_pg_init_privs] = {0};
    4899                 :             : 
    4900                 :             :         /* Update existing entry. */
    4901                 :          12 :         values[Anum_pg_init_privs_initprivs - 1] = PointerGetDatum(new_acl);
    4902                 :          12 :         replaces[Anum_pg_init_privs_initprivs - 1] = true;
    4903                 :             : 
    4904                 :          12 :         newtuple = heap_modify_tuple(oldtuple, RelationGetDescr(rel),
    4905                 :             :                                      values, nulls, replaces);
    4906                 :          12 :         CatalogTupleUpdate(rel, &newtuple->t_self, newtuple);
    4907                 :             :     }
    4908                 :             : 
    4909                 :             :     /*
    4910                 :             :      * Update the shared dependency ACL info.
    4911                 :             :      */
    4912                 :          12 :     noldmembers = aclmembers(old_acl, &oldmembers);
    4913                 :          12 :     nnewmembers = aclmembers(new_acl, &newmembers);
    4914                 :             : 
    4915                 :          12 :     updateInitAclDependencies(classid, objid, objsubid,
    4916                 :             :                               noldmembers, oldmembers,
    4917                 :             :                               nnewmembers, newmembers);
    4918                 :             : 
    4919                 :          12 :     systable_endscan(scan);
    4920                 :             : 
    4921                 :             :     /* prevent error when processing objects multiple times */
    4922                 :          12 :     CommandCounterIncrement();
    4923                 :             : 
    4924                 :          12 :     table_close(rel, RowExclusiveLock);
    4925                 :             : }
    4926                 :             : 
    4927                 :             : /*
    4928                 :             :  * RemoveRoleFromInitPriv
    4929                 :             :  *
    4930                 :             :  * Used by shdepDropOwned to remove mentions of a role in pg_init_privs.
    4931                 :             :  */
    4932                 :             : void
    4933                 :          14 : RemoveRoleFromInitPriv(Oid roleid, Oid classid, Oid objid, int32 objsubid)
    4934                 :             : {
    4935                 :             :     Relation    rel;
    4936                 :             :     ScanKeyData key[3];
    4937                 :             :     SysScanDesc scan;
    4938                 :             :     HeapTuple   oldtuple;
    4939                 :             :     SysCacheIdentifier cacheid;
    4940                 :             :     HeapTuple   objtuple;
    4941                 :             :     Oid         ownerId;
    4942                 :             :     Datum       oldAclDatum;
    4943                 :             :     bool        isNull;
    4944                 :             :     Acl        *old_acl;
    4945                 :             :     Acl        *new_acl;
    4946                 :             :     HeapTuple   newtuple;
    4947                 :             :     int         noldmembers;
    4948                 :             :     int         nnewmembers;
    4949                 :             :     Oid        *oldmembers;
    4950                 :             :     Oid        *newmembers;
    4951                 :             : 
    4952                 :             :     /* Search for existing pg_init_privs entry for the target object. */
    4953                 :          14 :     rel = table_open(InitPrivsRelationId, RowExclusiveLock);
    4954                 :             : 
    4955                 :          14 :     ScanKeyInit(&key[0],
    4956                 :             :                 Anum_pg_init_privs_objoid,
    4957                 :             :                 BTEqualStrategyNumber, F_OIDEQ,
    4958                 :             :                 ObjectIdGetDatum(objid));
    4959                 :          14 :     ScanKeyInit(&key[1],
    4960                 :             :                 Anum_pg_init_privs_classoid,
    4961                 :             :                 BTEqualStrategyNumber, F_OIDEQ,
    4962                 :             :                 ObjectIdGetDatum(classid));
    4963                 :          14 :     ScanKeyInit(&key[2],
    4964                 :             :                 Anum_pg_init_privs_objsubid,
    4965                 :             :                 BTEqualStrategyNumber, F_INT4EQ,
    4966                 :             :                 Int32GetDatum(objsubid));
    4967                 :             : 
    4968                 :          14 :     scan = systable_beginscan(rel, InitPrivsObjIndexId, true,
    4969                 :             :                               NULL, 3, key);
    4970                 :             : 
    4971                 :             :     /* There should exist only one entry or none. */
    4972                 :          14 :     oldtuple = systable_getnext(scan);
    4973                 :             : 
    4974         [ -  + ]:          14 :     if (!HeapTupleIsValid(oldtuple))
    4975                 :             :     {
    4976                 :             :         /*
    4977                 :             :          * Hmm, why are we here if there's no entry?  But pack up and go away
    4978                 :             :          * quietly.
    4979                 :             :          */
    4980                 :           0 :         systable_endscan(scan);
    4981                 :           0 :         table_close(rel, RowExclusiveLock);
    4982                 :           0 :         return;
    4983                 :             :     }
    4984                 :             : 
    4985                 :             :     /* Get a writable copy of the existing ACL. */
    4986                 :          14 :     oldAclDatum = heap_getattr(oldtuple, Anum_pg_init_privs_initprivs,
    4987                 :             :                                RelationGetDescr(rel), &isNull);
    4988                 :             :     Assert(!isNull);
    4989                 :          14 :     old_acl = DatumGetAclPCopy(oldAclDatum);
    4990                 :             : 
    4991                 :             :     /*
    4992                 :             :      * We need the members of both old and new ACLs so we can correct the
    4993                 :             :      * shared dependency information.  Collect data before
    4994                 :             :      * merge_acl_with_grant throws away old_acl.
    4995                 :             :      */
    4996                 :          14 :     noldmembers = aclmembers(old_acl, &oldmembers);
    4997                 :             : 
    4998                 :             :     /* Must find out the owner's OID the hard way. */
    4999                 :          14 :     cacheid = get_object_catcache_oid(classid);
    5000                 :          14 :     objtuple = SearchSysCache1(cacheid, ObjectIdGetDatum(objid));
    5001         [ -  + ]:          14 :     if (!HeapTupleIsValid(objtuple))
    5002         [ #  # ]:           0 :         elog(ERROR, "cache lookup failed for %s %u",
    5003                 :             :              get_object_class_descr(classid), objid);
    5004                 :             : 
    5005                 :          14 :     ownerId = DatumGetObjectId(SysCacheGetAttrNotNull(cacheid,
    5006                 :             :                                                       objtuple,
    5007                 :          14 :                                                       get_object_attnum_owner(classid)));
    5008                 :          14 :     ReleaseSysCache(objtuple);
    5009                 :             : 
    5010                 :             :     /*
    5011                 :             :      * Generate new ACL.  Grantor of rights is always the same as the owner.
    5012                 :             :      */
    5013         [ +  - ]:          14 :     if (old_acl != NULL)
    5014                 :          14 :         new_acl = merge_acl_with_grant(old_acl,
    5015                 :             :                                        false,   /* is_grant */
    5016                 :             :                                        false,   /* grant_option */
    5017                 :             :                                        DROP_RESTRICT,
    5018                 :             :                                        list_make1_oid(roleid),
    5019                 :             :                                        ACLITEM_ALL_PRIV_BITS,
    5020                 :             :                                        ownerId,
    5021                 :             :                                        ownerId);
    5022                 :             :     else
    5023                 :           0 :         new_acl = NULL;         /* this case shouldn't happen, probably */
    5024                 :             : 
    5025                 :             :     /* If we end with an empty ACL, delete the pg_init_privs entry. */
    5026   [ +  -  -  + ]:          14 :     if (new_acl == NULL || ACL_NUM(new_acl) == 0)
    5027                 :             :     {
    5028                 :           0 :         CatalogTupleDelete(rel, &oldtuple->t_self);
    5029                 :             :     }
    5030                 :             :     else
    5031                 :             :     {
    5032                 :          14 :         Datum       values[Natts_pg_init_privs] = {0};
    5033                 :          14 :         bool        nulls[Natts_pg_init_privs] = {0};
    5034                 :          14 :         bool        replaces[Natts_pg_init_privs] = {0};
    5035                 :             : 
    5036                 :             :         /* Update existing entry. */
    5037                 :          14 :         values[Anum_pg_init_privs_initprivs - 1] = PointerGetDatum(new_acl);
    5038                 :          14 :         replaces[Anum_pg_init_privs_initprivs - 1] = true;
    5039                 :             : 
    5040                 :          14 :         newtuple = heap_modify_tuple(oldtuple, RelationGetDescr(rel),
    5041                 :             :                                      values, nulls, replaces);
    5042                 :          14 :         CatalogTupleUpdate(rel, &newtuple->t_self, newtuple);
    5043                 :             :     }
    5044                 :             : 
    5045                 :             :     /*
    5046                 :             :      * Update the shared dependency ACL info.
    5047                 :             :      */
    5048                 :          14 :     nnewmembers = aclmembers(new_acl, &newmembers);
    5049                 :             : 
    5050                 :          14 :     updateInitAclDependencies(classid, objid, objsubid,
    5051                 :             :                               noldmembers, oldmembers,
    5052                 :             :                               nnewmembers, newmembers);
    5053                 :             : 
    5054                 :          14 :     systable_endscan(scan);
    5055                 :             : 
    5056                 :             :     /* prevent error when processing objects multiple times */
    5057                 :          14 :     CommandCounterIncrement();
    5058                 :             : 
    5059                 :          14 :     table_close(rel, RowExclusiveLock);
    5060                 :             : }
        

Generated by: LCOV version 2.0-1