10

我有一个数据库,所有访问都由存储过程控制。DBA 希望避免让用户直接读/写访问基础表,我可以理解。因此,所有数据的更新和选择都是通过存储过程完成的。基本上,他创建了一个角色,该角色对数据库中的所有存储过程具有 EXECUTE 权限,并赋予用户该角色。

问题是其中一个存储过程动态构建了一个 SQl Query 并通过“Execute sp_Executesql”执行它。无需详细介绍,查询是动态构建的,因为它会根据许多用户输入参数而发生显着变化。有问题的存储过程只是一个 SELECT sql 语句,但是我发现仅授予存储过程 EXECUTE 权限是不够的。存储过程中引用的使用“Execute sp_Executesql”的基础表需要被授予“datareader”访问权限,否则存储过程将失败。

关于如何纠正这个问题的任何想法?我真的想限制对表的访问仅限于存储过程,但我需要找到一种方法来解决使用“Execute sp_Executesq”l 的存储过程。谢谢你。

4

2 回答 2

16

在包装过程中,您可以使用EXECUTE AS OWNEREXECUTE AS SomeuserWithNoLogin

这将在包含 sp_executesql 的存储过程期间更改登录上下文。

  • 如果您使用 OWNER,它将起作用,因为您已经在使用所有权链接。
  • 如果您的 DBA(好人!)不希望您以 dbo 身份运行,则设置一个具有完全读取权限但没有权限的用户。EXECUTE AS <user>需要一个条目是sys.database_principals

像这样:

CREATE USER SomeuserWithNoLogin WITH WITHOUT LOGIN
EXEC sp_addrolemember 'db_datareader', 'SomeuserWithNoLogin'

有关详细信息,请参阅MSDN 上的 EXECUTE AS 子句CREATE PROCEDURE

于 2010-09-28T19:59:06.180 回答
-3

真正的问题是 sp_Executesql 在主数据库中,不一定是您工作的数据库。您的 DBA 必须授予调用过程执行 sp_Executesql 的权限。比任何有权调用该过程的人都能够运行 sp_Executesql。

于 2010-09-28T19:58:02.890 回答