Il n'y a pas besoin d'alternative à UTL_HTTP, ce package n'est disponible qu'en raison d'une mauvaise compréhension des règles de sécurité. Demandez à votre administrateur de base de données d'accorder l'exécution sur UTL_HTTP à public, à un rôle ou à votre compte.
Il est important de savoir d'où viennent les règles de sécurité, de savoir quand elles ne s'appliquent plus. La plupart des DBA n'ont aucune idée de l'origine de leurs politiques de sécurité. La plupart d'entre eux obtiennent simplement les scripts ou les politiques d'un collègue et ne les remettent pas en question. Si vous deviez le retracer, il est probable que quelqu'un de votre organisation ait reçu un script d'un auditeur de sécurité. Les auditeurs de sécurité copient presque toujours leur script textuellement à partir du Guide de mise en œuvre technique de la sécurité (STIG), produit par le ministère de la Défense.
Ce qui signifie le réel les politiques de sécurité peuvent être trouvées dans le 11g Oracle STIG ou le 12c Oracle STIG .
Le fichier XML du guide 11g contient cette règle :SV-68213r1_rule, "L'autorisation d'exécution doit être révoquée à PUBLIC pour les packages Oracle restreints." Cette règle recommande d'exécuter cette commande :
revoke execute on UTL_HTTP from PUBLIC;
Mais le guide indique clairement qu'il est acceptable d'accorder des privilèges d'exécution à des utilisateurs spécifiques. La règle consiste uniquement à révoquer l'octroi de PUBLIC, et non à empêcher tout le monde d'utiliser le package. Et cette règle n'existe même pas en 12c.
