那些遇到过的问题

Sql server - 以只读权限执行存储过程

PAL*_*ALE 6 c# sql-server

我有一个应用程序,用户可以在其中输入要在 sql server 数据库中执行的 sql 语句。这些语句只能返回数据,不能执行任何 DML 或 DDL 操作。目前输入被验证只允许编写 SELECT 语句。但现在要求允许执行存储过程,但只允许那些只读取数据的过程。也将有助于列出这些 SP 以显示一种智能感知。

我想创建一个只有 db_datareader 权限的用户并以此用户身份执行语句。但是要执行存储过程,我必须向用户授予 Execute 权限,并且因为Ownership Chaining,可能不会检查权限。我还没有想出如何解决这个问题。

我还认为只允许执行在只有读取权限的特定数据库模式中创建的存储过程。同样,我可以通过这种方式轻松列出 SP。我不知道这是否可能。

PAL*_*ALE 2

经过一番挖掘和使用 @TheGameiswar 答案后,我提出了这个解决方案

\n\n

1-创建一个“只读”用户

\n\n
Create user user_reader without login\n
Run Code Online (Sandbox Code Playgroud)\n\n

2-为了打破所有权链,我创建了一个新的数据库模式,其中 user_reader 作为所有者

\n\n
Create schema reader\n\nALTER AUTHORIZATION ON Schema::reader TO user_reader\n
Run Code Online (Sandbox Code Playgroud)\n\n

3-授予user_reader选择权限

\n\n
GRANT SELECT TO user_reader\n
Run Code Online (Sandbox Code Playgroud)\n\n

4- 授予 user_reader 执行权限,仅在阅读器模式中。在其他模式中,存储过程可能与表具有相同的所有者,并且不会检查 user_reader 的权限,因为所有权链不会中断。

\n\n
GRANT EXECUTE ON Schema::reader TO user_reader\n
Run Code Online (Sandbox Code Playgroud)\n\n

5-在user_reader上下文中执行用户编写的每一条sql语句。要实现此目的,请始终在前面加上“execute as user = \'user_reader\'”

\n\n
public override DataTable ExecuteQuery(string query)\n{\n    SqlConnection connection = new SqlConnection(ConnectionString);\n\n    StringBuilder readOnlyQuery = new StringBuilder();\n    readOnlyQuery .AppendLine("execute as user = \'user_reader\';");      \n    readOnlyQuery .AppendLine(query);\n    query = readOnlyQuery .ToString();\n\n    SqlCommand command = new SqlCommand(query, connection);\n\n    ...Execute the command\n}\n
Run Code Online (Sandbox Code Playgroud)\n\n

供测试用

\n\n
CREATE TABLE [dbo].[TestTable](\n    [TestField] [int] NOT NULL\n)\n\nGO\nCREATE PROCEDURE USP_INSERT\n    @input int\nAS\nBEGIN\n    INSERT INTO TestTable VALUES (@input)\nEND\n\nGO\n\nCREATE PROCEDURE reader.USP_READ\nAS\nBEGIN\n    SELECT * FROM TestTable\nEND\nGO\n\nCREATE PROCEDURE reader.USP_INSERT\n    @input int\nAS\nBEGIN\n    INSERT INTO TestTable VALUES (@input)\nEND\n
Run Code Online (Sandbox Code Playgroud)\n\n

测试:

\n\n
insert into TestTable VALUES (2)\n
Run Code Online (Sandbox Code Playgroud)\n\n
\n

对对象 \'TestTable\'、数据库\n \'Test\'、架构 \'dbo\' 的 INSERT 权限被拒绝。

\n
\n\n
select * from TestTable\n
Run Code Online (Sandbox Code Playgroud)\n\n
\n

好的

\n
\n\n
exec usp_read\n
Run Code Online (Sandbox Code Playgroud)\n\n
\n

对对象“USP_READ”、数据库“Test”、架构“dbo”的 EXECUTE 权限被拒绝。

\n
\n\n
exec usp_insert 1\n
Run Code Online (Sandbox Code Playgroud)\n\n
\n

对对象“USP_INSERT”、数据库“Test”、架构“dbo”的 EXECUTE 权限被拒绝。

\n
\n\n
exec reader.usp_insert 1\n
Run Code Online (Sandbox Code Playgroud)\n\n
\n

对对象 \'TestTable\'、数据库\n \'Test\'、架构 \'dbo\' 的 INSERT 权限被拒绝。

\n
\n\n
exec reader.usp_read\n
Run Code Online (Sandbox Code Playgroud)\n\n
\n

好的

\n
\n\n

我们还可以列出阅读器模式中的所有存储过程

\n\n
select name\nfrom sys.procedures\nwhere SCHEMA_NAME(schema_id) = \'reader\'\n
Run Code Online (Sandbox Code Playgroud)\n\n

该解决方案满足我的要求,但对于其他情况可能还不够。

\n

归档时间:

查看次数:

6447 次

最近记录:

4 年,10 月 前
相关归档
为什么锁(这个){...}不好? 462
在c#中以字节为单位查找对象实例的大小 101
将Excel电子表格列导入SQL Server数据库 63
泛型 - 其中T是数字? 59
跳过/忽略插入时的重复行 25
TFS:查找受变更集影响的文件 12
从概念上讲,数据库分片与联合有何不同 11
如何在Sql Server 2005中更改UDT的基本类型? 10
SQL Server 2008的分页方法? 10
如何选择列值为null的行? 10
难疑归档
你如何获得JavaScript的时间戳? 3844
让现有的Git分支跟踪一个远程分支? 3437
何时在Java中使用LinkedList而不是ArrayList? 2974
如何将某些内容附加到数组中? 2895
Flash CS4拒绝放手 2735
什么是智能指针,什么时候应该使用? 1730
lodash和下划线之间的差异 1566
require,include,require_once和include_once之间的区别? 1166
如何删除旧的Docker容器 1162
如何向给定元素添加类? 1109