以只读访问权限打开 SQL Server 数据库 - 确保

Question

我有一个用 C# 编写的具有 SQL Server 后端的应用程序。我们将让高级用户能够通过针对系统数据库编写和执行他们自己的 SQL 脚本来创建报告。

现在，很明显，我不能使用系统用于连接的 SQL Server 用户，因为用户很容易能够修改数据库中的数据。我知道我不能强制从 C# 应用程序以只读方式打开连接，因此我必须使用对数据库具有只读权限的用户。

我正计划测试与报告目的连接的用户是否具有对数据库的只读访问权限。如果访问是只读的，则将执行查询，否则将拒绝执行。如何从 C# 应用程序或使用 T-SQL 进行测试？

Answer 1

您可以检查用户是否有任何用户映射，而不是 db_datareader 用于相关数据库。我找到了good TSQL query，但由于排序规则冲突，它无法在我的系统上运行。这是该帖子的更新版本，适用于我。您可以在 SQL Server Management Studio 中运行它以了解返回的数据。

DECLARE @name SYSNAME = N'ReadonlyUserNameHere'; -- input param, presumably

DECLARE @sql NVARCHAR(MAX) = N'';

SELECT @sql += N'UNION ALL SELECT N''' + REPLACE(name,'''','''''') + ''',
  p.name COLLATE DATABASE_DEFAULT, p.default_schema_name COLLATE DATABASE_DEFAULT, STUFF((SELECT N'','' + r.name 
  FROM ' + QUOTENAME(name) + N'.sys.database_principals AS r
  INNER JOIN ' + QUOTENAME(name) + N'.sys.database_role_members AS rm
   ON r.principal_id = rm.role_principal_id
  WHERE rm.member_principal_id = p.principal_id
  FOR XML PATH, TYPE).value(N''.[1]'',''nvarchar(max)''),1,1,N'''')
 FROM sys.server_principals AS sp
 LEFT OUTER JOIN ' + QUOTENAME(name) + '.sys.database_principals AS p
 ON sp.sid = p.sid
 WHERE sp.name = @name '
FROM sys.databases WHERE [state] = 0;

SET @sql = STUFF(@sql, 1, 9, N'');

PRINT @sql;
EXEC master.sys.sp_executesql @sql, N'@name SYSNAME', @name;

在为 C# 重写查询时，一定要使用参数化查询来注入用户名。