oracle的虚拟私有数据库特性（也称作细颗粒度存取控制）对诸如select等数据管理语言dml语句提供行级安全性检查。pl/sql策略函数和某个数据表相关联，这个函数可以检查当前用户的上下文背景并添加查询中where语句的条件（断言），一个用户或者应用可以这样来写：

select * from employees;

但是实际上oracle将会执行这样的语句：

select * from employees

where department_id = 60;

因此，只有在查寻范围之内的行（在department数据表中的前60行）才会被查询语句返回。利用oracle 10g中的新选项可以让oracle返回所有行，而不仅仅是被授权的行。然而，未被授权行中包含的某些列（称为安全相关列）将显示null来代替实际数据，而其它的列值将会正常显示。

要想使用列值掩码必须在虚拟私有数据库策略中做两件事。

首先必须创建一个列级策略来设计某些列为安全相关列.其次必须在查询中包含all_rows选项以用来返回所有行。这两个参数的结合就可以实现列值掩码。

create or replace
function rls_dept 
(obj_owner in varchar2, obj_name in varchar2)
return varchar2
as
predicate                 
varchar2 (200);
begin
predicate := 'department_id = 60';
return (predicate);
end rls_dept;
/

列表a

列表a显示了一个称为rls_dept的策略函数。它返回断言“department_id=60”，用来设定对于employees表中60行之内的department字段。（实际上，这个函数并不返回一个静态表，它可以确定当前用户是谁，并据此返回给该用户正确的部门值。）

begin
dbms_rls.add_policy(object_schema=>'hr', 
object_name=>'employees',
policy_name=>'restrict_dept_policy',
function_schema=>'hr',
policy_function=>'rls_dept',
sec_relevant_cols=>'salary,commission_pct',
sec_relevant_cols_opt=>dbms_rls.all_rows);
end;
/

列表b

列表b显示了如何应用列表a中的函数创建列值掩码。在dbms_rls包中的过程add_policy创建一个称为restrict_dept_policy的新策略。参数sec_relevant_cols表明字段salary和commission_pct是安全相关列。一个包含上述两个字段的查询将会应用到该策略函数，不包含的查询就不会应用该策略。最后，参数sec_relevant_cols_opts设定为常量all_rows。

列值掩码应用于select语句，无论哪个客户访问数据库都可以实施列值掩码，诸如sql *plus、.net应用或者其它工具。