标签: security

有什么用log_bin_trust_function_creators？另外，参数的值是动态的吗？如果我重新启动 MySQL 服务，它会改变吗？

我做了以下存储过程：

ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100))
AS
SELECT ActorDOB, ActorName FROM tblActor
WHERE ActorName LIKE '%' + @nameString + '%'
AND ActorGender = @actorgender

现在，我尝试做这样的事情。也许我做错了，但我想确保这样的过程可以防止任何 SQL 注入：

EXEC usp_actorBirthdays 'Tom', 'Male; DROP TABLE tblActor'

下图显示了在 SSMS 中执行的上述 SQL 并且结果显示正确而不是错误：

顺便说一句，我在查询完成后在分号后面添加了那部分。然后我再次执行它，但是当我检查表 tblActor 是否存在时，它仍然存在。难道我做错了什么？或者这真的是防注射的吗？我想我在这里也想问的是，这是一个像这样安全的存储过程吗？谢谢你。

我们有一个用户即将离开，我需要知道他拥有的每个数据库对象。是否有提供此信息的查询？

我有一个应用程序要部署在使用“荣誉系统”安全性的生产中。也就是说，所有用户都使用 SQL 用户/密码凭证连接到数据库，应用程序自行管理权限。后一部分并没有像连接对象包含嵌入式凭据并且可以自由复制这一事实那样困扰我。我试图找到某种方法来限制与一组更有限的客户端的连接。当然，我可以创建防火墙规则来限制 IP。有没有办法通过机器帐户或域成员资格“预审”SQL 登录？

我不小心给了用户 db_owner 架构的所有权（使用 UI 中的复选框，如下所示），现在我不能：

1. 将所有权转让给其他用户
2. 从数据库中删除用户（尽管我可以删除 SQL Server 中的登录名）

我试过数据库主体在数据库中拥有一个架构，并且无法删除。

ALTER AUTHORIZATION ON SCHEMA::db_owner TO dbo

虽然它成功完成，但用户仍然拥有所有权，并且它是灰色的，所以我似乎也无法在 UI 中执行此操作。

找到了解决办法：

除了Arron 的回答之外，我意识到我会在错误的数据库（facepalm！）中运行上述命令。一旦数据库得到纠正，上面的 SQL 和下面的答案都有效。

防范勒索软件的最佳保护措施之一是将所有数据库文件备份到完全独立的系统。我们已经做到了。

但一种想法是数据库的备份现在可能包含勒索软件。这可能吗？这是 2016 SQL Server 本机创建的 .bak。或者勒索软件不可能将自身嵌入到备份文件中？

我打算使用 aUNIQUEIDENTIFIER作为用户可以用来访问某些数据的访问密钥。从这个意义上说，密钥将充当密码。

我需要生成多个这样的标识符作为INSERT...SELECT语句的一部分。出于架构原因，我想在这种情况下生成服务器端标识符。

如何生成安全的随机数UNIQUEIDENTIFIER？请注意，这NEWID不够随机，因为它根本不承诺任何安全属性。我正在寻找与System.Security.Cryptography.RandomNumberGenerator等效的 SQL Server，因为我需要不可猜测的 ID。任何基于CHECKSUM, RANDor 的东西GETUTCDATE也不符合条件。

我一直在尝试解决无法查看 SQL Server 2012 数据库中某些表的登录问题。在这样做时，我发现我不太了解db_owner角色中的成员资格允许的内容。我可以理解其他角色，db_datareader and db_datawriter但我对db_owner允许的内容仍然感到困惑。

当我查看时sys.sql_logins，我看到一个名为is_policy_checked. 我可以相信我的密码策略已经针对此列值所在的所有登录名进行了检查1吗？

我需要从 oracle 中取证删除数据。如果我只是删除它，我的理解是数据实际上仍然在数据文件中，直到该空间被重用。我不关心重做/存档/撤消空间，这些空间会很快过时。

是否有任何方法可以确保实际从数据文件中删除数据？