那些遇到过的问题

sp_executesql 的安全隐患是什么?

Ale*_*Dba 9 security sql-server permissions

默认情况下,在SQL Server中,[public]角色拥有EXECUTE权利sp_executesql

不过,我继承,其中前面的DBA已撤销的数据库服务器EXECUTE上的权利sp_executesql

作为临时解决方法,我一直在根据需要授予EXECUTE权限sp_executesql(通过 master 数据库中的角色)。但这开始成为维护之痛。

如果我EXECUTE重新授予公众,是否有任何我需要注意的影响?

Rem*_*anu 8

没有任何。sp_executesql在与原始调用者执行相同SQL完全相同的上下文和权限下执行SQL。有很多很多情况,动态 SQL 是不可避免的。

  • -1 因为答案并未表明微软指出可能存在安全风险 http://msdn.microsoft.com/en-us/library/ms188001(v=sql.105).aspx (4认同)
  • 虽然永远不能低估 sql 注入的风险,但禁用 `sp_executesql` 并不是适当的缓解措施。当 SQL 语句是通过将 SQL 片段与输入变量连接起来“手工”构建,然后“按原样”执行时,绝大多数 SQL 注入错误都发生在客户端。对于所有这些情况,禁用 `sp_executesql` 没有任何帮助。 (2认同)

归档时间:

查看次数:

2789 次

最近记录:

13 年,7 月 前
相关归档
您可以将 COUNT DISTINCT 与 OVER 子句一起使用吗? 28
如何防止在列上创建统计信息? 20
用户定义表类型的 sp_executesql 行为不正确 12
SQL中的双数字符号##是什么意思? 11
将 TempDB 拆分为与 CPU 数量相等的多个文件 8
你应该加密系统数据库吗? 6
缩小不情愿的日志文件 4
如何在 PostgreSQL 中的当前数据库上授予连接和创建权限? 4
是否可以在 Windows 7 上安装 SQL Server 2014 Enterprise? 3
如何创建 Windows 防火墙规则以仅允许一个 IP 地址连接 Windows 2016 服务器中的 MS SQL 2017 Express 数据库? 2
难疑归档
Guid vs INT - 作为主键哪个更好? 135
单个 PostgreSQL 查询可以使用多个内核吗? 64
是否可以使用 PostgreSQL 快速创建/恢复数据库快照? 58
获取 PostgreSQL 数据库表的最后修改日期 47
在某些情况下,JOIN 子句中的 USING 构造会引入优化障碍吗? 38
HEAP 表的有效使用场景是什么? 31
EXPLAIN ANALYZE 不显示 plpgsql 函数内查询的详细信息 25
执行计划显示昂贵的 CONVERT_IMPLICIT 操作。我可以通过索引解决这个问题还是需要更改表? 25
有没有一种好方法可以为 postgres 表中的每条记录运行触发器? 23
如何强制一个记录为布尔列的值为真,而所有其他记录为假值? 23