Không cần thay thế cho UTL_HTTP, gói đó chỉ không khả dụng do hiểu nhầm các quy tắc bảo mật. Yêu cầu DBA của bạn cấp quyền thực thi trên UTL_HTTP cho công chúng, một vai trò hoặc tài khoản của bạn.
Điều quan trọng là phải biết các quy tắc bảo mật đến từ đâu và biết khi nào chúng không còn được áp dụng nữa. Hầu hết các DBA đều không biết chính sách bảo mật của họ bắt nguồn từ đâu. Hầu hết họ chỉ đơn giản là lấy các kịch bản hoặc chính sách từ đồng nghiệp và không thắc mắc về nó. Nếu bạn truy tìm lại nó, có khả năng một người nào đó trong tổ chức của bạn đã nhận được một tập lệnh từ kiểm toán viên bảo mật. Các kiểm toán viên an ninh hầu như luôn sao chép nguyên văn kịch bản của họ từ Hướng dẫn triển khai kỹ thuật an ninh (STIG), do Bộ Quốc phòng biên soạn.
Có nghĩa là thực Bạn có thể tìm thấy chính sách bảo mật trong 11g Oracle STIG hoặc 12c Oracle STIG .
Tệp XML cho hướng dẫn 11g chứa quy tắc này:SV-68213r1_rule, "Quyền thực thi phải được thu hồi khỏi PUBLIC đối với các gói Oracle bị hạn chế." Quy tắc đó khuyên bạn nên thực hiện lệnh này:
revoke execute on UTL_HTTP from PUBLIC;
Nhưng hướng dẫn nói rõ ràng rằng có thể cấp các đặc quyền thực thi cho những người dùng cụ thể. Quy tắc là chỉ thu hồi tài trợ từ PUBLIC, không ngăn cản mọi người sử dụng gói. Và quy tắc đó thậm chí không tồn tại trong 12c.
