我的应用程序(C#、ASP.Net)需要在数据库中插入、更新和删除数据,并运行存储过程。我需要防止它修改数据库模式——不更改表、创建或删除、不更改存储过程。
我需要向应用程序用户授予哪些权限组合?只是“选择”是行不通的,因为它需要在表中插入/更新/删除数据。
如何检查特定登录的权限和访问权限? 如何授予或拒绝登录权限和访问权限? 我需要授予新用户(登录)权限以仅访问一个数据库。
使用带有 SSMS 的 SQL Server 2008 R2。
【问题讨论】:
标签: c#-4.0 sql-server-2008-r2 user-roles
如果你真的想在对象级别控制它,你可以这样做:
GRANT SELECT,UPDATE,INSERT,DELETE ON dbo.table TO user;
在架构级别:
GRANT SELECT,UPDATE,INSERT,DELETE ON SCHEMA::dbo TO user;
不过,理想情况下,您不允许针对您的表进行临时 DML,并通过存储过程控制所有 DML。在这种情况下,您只需要在过程本身上授予 exec 权限,而不是对其接触的对象:
GRANT EXEC ON dbo.procedure TO user;
类似地,如果您想允许对特定架构中的所有过程执行 exec,您可以说:
GRANT EXEC ON SCHEMA::dbo TO user;
一个例外是当您的存储过程组成动态 SQL 时。在这些情况下,您可能仍需要在动态 SQL 执行的上下文中对基础表应用权限,或者您可以使用EXECUTE AS OWNER。
【讨论】:
sys.database_permissions。我不知道您应该使用哪个服务器角色,但如果您授予显式权限,那么 public 应该足够了(可能需要 db_datareader / db_datawriter 取决于一堆其他因素)。安全是一个复杂的话题,我认为您可能需要教程或培训课程,而不是回复 cmets。