存儲(chǔ)過(guò)程加密其實(shí),用了這十多年的SQLserver,我已經(jīng)成了存儲(chǔ)過(guò)程的忠實(shí)擁躉。在直接使用SQL語(yǔ)句還是存儲(chǔ)過(guò)程來(lái)處理業(yè)務(wù)邏輯時(shí),我基本會(huì)毫不猶豫地選擇后者。理由如下:1、使用存儲(chǔ)過(guò)程,至少在防非法注入(inject)方面提供更好的保護(hù)。至少,存儲(chǔ)過(guò)程在執(zhí)行前,首先會(huì)執(zhí)行預(yù)編譯,(如果由于非" />

亚洲免费在线-亚洲免费在线播放-亚洲免费在线观看-亚洲免费在线观看视频-亚洲免费在线看-亚洲免费在线视频

SQL Server 2008中的代碼安全(一):存儲(chǔ)過(guò)程

系統(tǒng) 2141 0

SQL Server 2008中SQL應(yīng)用系列--目錄索引

最近對(duì)SQL Server 2008的安全入門(mén)略作小結(jié),以作備忘。本文涉及兩個(gè)應(yīng)用:存儲(chǔ)過(guò)程加密和安全上下文。

<一>存儲(chǔ)過(guò)程加密

其實(shí),用了這十多年的SQL server,我已經(jīng)成了存儲(chǔ)過(guò)程的忠實(shí)擁躉。在直接使用SQL語(yǔ)句還是存儲(chǔ)過(guò)程來(lái)處理業(yè)務(wù)邏輯時(shí),我基本會(huì)毫不猶豫地選擇后者。

理由如下:

1、使用存儲(chǔ)過(guò)程,至少在防非法注入(inject)方面提供更好的保護(hù) 。至少,存儲(chǔ)過(guò)程在執(zhí)行前,首先會(huì)執(zhí)行預(yù)編譯,(如果由于非法參數(shù)的原因)編譯出錯(cuò)則不會(huì)執(zhí)行,這在某種程度上提供一層天然的屏障。

我至今還記得大約八、九年前采用的一個(gè)權(quán)限控制系統(tǒng)就是通過(guò)拼湊一個(gè)SQL語(yǔ)句,最終得到了一個(gè)形如“ where 1=1 and dataID in (1,2) and ModelID in (2,455) And ShopID in (111) and departID in ( 1,3) and ([Name] like %myword%) ”的where條件子句來(lái)獲取符合條件的結(jié)果集。

注意:這個(gè)參數(shù)是通過(guò)地址欄web應(yīng)用的地址欄或Winform的UI界面來(lái)輸入的,所以對(duì)惡意注入需要花費(fèi)一定的成本來(lái)維護(hù)。因?yàn)橐恍┏S玫年P(guān)鍵字(或敏感詞)很難區(qū)分是惡意或非惡意。

2、使用存儲(chǔ)過(guò)程而不是直接訪問(wèn)基表,可以提供更好的安全性 。你可以在行級(jí)或列級(jí)控制數(shù)據(jù)如何被修改。相對(duì)于表的訪問(wèn),你可以確認(rèn)有執(zhí)行權(quán)限許可的用戶(hù)執(zhí)行相應(yīng)的存儲(chǔ)過(guò)程。這也是訪問(wèn)數(shù)據(jù)服務(wù)器的惟一調(diào)用途徑。因此,任何偷窺者將無(wú)法看到你的SELECT語(yǔ)句。換句話說(shuō),每個(gè)應(yīng)用只能擁有相應(yīng)的存儲(chǔ)過(guò)程來(lái)訪問(wèn)基表,而不是“SLEECT *”。

3、存儲(chǔ)過(guò)程可以加密 。(這點(diǎn)非常實(shí)用,設(shè)想一下,您的數(shù)據(jù)庫(kù)服務(wù)器是托管的或租用的,你是否能心安理得的每天睡個(gè)安穩(wěn)覺(jué)。如果競(jìng)爭(zhēng)對(duì)手“一不小心”登上你的SQL Server,或通過(guò)注入得到了你的存儲(chǔ)過(guò)程,然后相應(yīng)的注入惡意的SQL,將您的業(yè)務(wù)邏輯亂改一通,而恰巧您五分鐘前又沒(méi)做備份,那會(huì)怎么樣?)

(注意: 加密存儲(chǔ)過(guò)程前應(yīng)該備份原始存儲(chǔ)過(guò)程,且加密應(yīng)該在部署到生產(chǎn)環(huán)境前完成。)

存儲(chǔ)過(guò)程的加密非常簡(jiǎn)單,我們看一個(gè)例子:

插入測(cè)試表

插入存儲(chǔ)過(guò)程:

未加密的存儲(chǔ)過(guò)程:

加密的存儲(chǔ)過(guò)程:

此時(shí),至少,存儲(chǔ)過(guò)程的內(nèi)容不會(huì)被輕易看到(雖然解密也是有可能的)。應(yīng)用這個(gè),我們可以對(duì)某些關(guān)鍵的存儲(chǔ)過(guò)程進(jìn)行加密。 但此時(shí),存儲(chǔ)過(guò)程仍然能被execute、alter和drop。

<二>安全上下文


除了加密sql文本的內(nèi)容,我們還可以使用 EXECUTE AS 子句設(shè)定存儲(chǔ)過(guò)程的安全上下文,以滿足不同的安全級(jí)別需求。

如果你對(duì)這些不感興趣,請(qǐng)直接路過(guò)帶下劃線的段落。

(關(guān)于 EXECUTE AS 子句的詳細(xì)用法,請(qǐng)參看MSDN: http://msdn.microsoft.com/zh-cn/library/ms188354.aspx)

此處,我們需要了解的是:

1、在 SQL Server 中,可以定義以下用戶(hù)定義模塊的執(zhí)行上下文: 函數(shù)(內(nèi)聯(lián)表值函數(shù)除外)、過(guò)程、隊(duì)列和觸發(fā)器。

通過(guò)指定執(zhí)行模塊的上下文,可以控制數(shù)據(jù)庫(kù)引擎使用哪一個(gè)用戶(hù)帳戶(hù)來(lái)驗(yàn)證對(duì)模塊引用的對(duì)象的權(quán)限。這有助于人們更靈活、有力地管理用戶(hù)定義的模塊及其所引用對(duì)象所形成的對(duì)象鏈中的權(quán)限。必須而且只需授予用戶(hù)對(duì)模塊自身的權(quán)限,而無(wú)需授予用戶(hù)對(duì)被引用對(duì)象的顯式權(quán)限。只有運(yùn)行模塊的用戶(hù)必須對(duì)模塊訪問(wèn)的對(duì)象擁有權(quán)限。

針對(duì)函數(shù)、過(guò)程、隊(duì)列和觸發(fā)器,對(duì)應(yīng)的參數(shù)也不同。存儲(chǔ)過(guò)程對(duì)應(yīng)的參數(shù)包括( CALLER | SELF | OWNER | 'user_name ')。

CALLER 指定模塊內(nèi)的語(yǔ)句在模塊調(diào)用方的上下文中執(zhí)行。執(zhí)行模塊的用戶(hù)不僅必須對(duì)模塊本身?yè)碛羞m當(dāng)?shù)臋?quán)限,還要對(duì)模塊引用的任何數(shù)據(jù)庫(kù)對(duì)象擁有適當(dāng)權(quán)限。 CALLER 是除隊(duì)列外的所有模塊的默認(rèn)值,與 SQL Server 2005 行為相同。 CALLER 不能在 CREATE QUEUE 或 ALTER QUEUE 語(yǔ)句中指定。
SELF EXECUTE AS SELF 與 EXECUTE AS user_name 等價(jià),其中指定用戶(hù)是創(chuàng)建或更改模塊的用戶(hù)。創(chuàng)建或更改模塊的用戶(hù)的實(shí)際用戶(hù) ID 存儲(chǔ)在 sys.sql_modules sys.service_queues 目錄視圖的 execute_as_principal_id 列中。SELF 是隊(duì)列的默認(rèn)值。
OWNER 指定模塊內(nèi)的語(yǔ)句在模塊的當(dāng)前所有者上下文中執(zhí)行。如果模塊沒(méi)有指定的所有者,則使用模塊架構(gòu)的所有者。不能為 DDL 或登錄觸發(fā)器指定 OWNER。注意: OWNER 必須映射到單獨(dú)帳戶(hù),不能是角色或組。
'user_name' 指定模塊內(nèi)的語(yǔ)句在 user_name 指定的用戶(hù)的上下文中執(zhí)行。將根據(jù) user_name 來(lái)驗(yàn)證對(duì)模塊內(nèi)任意對(duì)象的權(quán)限。不能為具有服務(wù)器作用域的 DDL 觸發(fā)器或登錄觸發(fā)器指定 user_name。請(qǐng)改用 login_name。user_name 必須存在于當(dāng)前數(shù)據(jù)庫(kù)中,并且必須是單獨(dú)帳戶(hù)。user_name 不能是組、角色、證書(shū)、密鑰或內(nèi)置帳戶(hù),如 NT AUTHORITY/LocalService、NT AUTHORITY/NetworkService 或 NT AUTHORITY/LocalSystem。執(zhí)行上下文的用戶(hù) ID 存儲(chǔ)在元數(shù)據(jù)中,可以在 sys.sql_modules 或 sys.assembly_modules 目錄視圖的 execute_as_principal_id 列查看。

2、所有權(quán)鏈具有以下限制:
僅適用于 DML 語(yǔ)句:SELECT、INSERT、UPDATE 和 DELETE。
調(diào)用和被調(diào)用對(duì)象的所有者必須相同。
不適用于模塊內(nèi)的動(dòng)態(tài)查詢(xún)。

我們看一個(gè)示例:
第一步、創(chuàng)建一個(gè)測(cè)試存儲(chǔ)過(guò)程,用來(lái)delete表tb_Demo的所有數(shù)據(jù)

第二步:創(chuàng)建一個(gè)賬號(hào)TonyZhang,并賦于該賬號(hào)對(duì)該存儲(chǔ)過(guò)程的exec權(quán)限

以該賬號(hào)登錄SQL Server,并執(zhí)行:

注意:此時(shí), 雖然TonyZhang除了執(zhí)行存儲(chǔ)過(guò)程[CPP_DEL_ALL_Tb_Demo]之外沒(méi)有任何其他權(quán)限,但仍然執(zhí)行了存儲(chǔ)過(guò)程,并刪除了表記錄。
如果我們修改存儲(chǔ)過(guò)程為:

此時(shí),再以TonyZhang登錄,并執(zhí)行存儲(chǔ)過(guò)程,會(huì)提示:

這是因?yàn)樗姓邫?quán)鏈只限定在SELECT、INSERT、UPDATE 和 DELETE。而不包括Truncate,換句話說(shuō),系統(tǒng)授于的Exec只既定于SELECT、INSERT、UPDATE 和 DELETE

有人可能會(huì)問(wèn):如果在存儲(chǔ)過(guò)程內(nèi)部調(diào)用動(dòng)態(tài)語(yǔ)句,而不是明確的表名,我們?nèi)绾蜗薅?quán)限呢?
第三步:我們建立一個(gè)存儲(chǔ)過(guò)程,功能是傳入一個(gè)參數(shù)表名,查詢(xún)?cè)摫淼挠涗洈?shù)。

授于Tonyzhang 以執(zhí)行該存儲(chǔ)過(guò)程的權(quán)限:

此時(shí),以Tonyzhang登錄,執(zhí)行存儲(chǔ)過(guò)程,會(huì)提示:

注意,此時(shí),tonyzhang雖然有執(zhí)行存儲(chǔ)過(guò)程的權(quán)限,但是沒(méi)有參數(shù)表的slect權(quán)限,所以執(zhí)行失敗。
第四步:修改存儲(chǔ)過(guò)程的上下文
創(chuàng)建一個(gè)新賬號(hào)jackwang,賦于表tb_Demo的select權(quán)限

修改存儲(chǔ)的執(zhí)行者

注意:這樣,我們?cè)僬{(diào)用存儲(chǔ)過(guò)程[CPP_SEL_CountRowsFromAnyTable]時(shí),會(huì)自動(dòng)以JackWang的身份運(yùn)行該存儲(chǔ)過(guò)程。
此時(shí),我們?nèi)砸訲onyzhang登錄,再執(zhí)行:


小結(jié):
本文通過(guò)簡(jiǎn)單的兩個(gè)示例開(kāi)始SQL server代碼的安全之旅,
1、存儲(chǔ)過(guò)程的加密,(注意: 加密存儲(chǔ)過(guò)程前應(yīng)該備份原始存儲(chǔ)過(guò)程,且加密應(yīng)該在部署到生產(chǎn)環(huán)境前完成。)
2、存儲(chǔ)過(guò)程的安全上下文。可以通過(guò)上下文設(shè)置更加嚴(yán)格的數(shù)據(jù)訪問(wèn)級(jí)別。(主要是對(duì) SELECT、INSERT、UPDATE 和 DELETE 語(yǔ)句的訪問(wèn)限制)

后續(xù)部分將會(huì)涉及SQL server 2008新增的透明加密(TDE)功能。

邀月注:本文版權(quán)由邀月和CSDN共同所有,轉(zhuǎn)載請(qǐng)注明出處。
助人等于自助! 3w@live.cn

SQL Server 2008中的代碼安全(一):存儲(chǔ)過(guò)程加密與安全上下文


更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主

微信掃碼或搜索:z360901061

微信掃一掃加我為好友

QQ號(hào)聯(lián)系: 360901061

您的支持是博主寫(xiě)作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。

【本文對(duì)您有幫助就好】

您的支持是博主寫(xiě)作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描上面二維碼支持博主2元、5元、10元、自定義金額等您想捐的金額吧,站長(zhǎng)會(huì)非常 感謝您的哦!!!

發(fā)表我的評(píng)論
最新評(píng)論 總共0條評(píng)論
主站蜘蛛池模板: 久久精品亚洲一区二区 | 久久只有精品 | 青青热在线精品视频免费 | 国产伦精品一区二区三区网站 | 亚洲精品国产精品乱码不卞 | 日韩久操 | 九九在线 | 四虎4hu永久免费视频大全 | 色综网 | 真实国产乱弄免费视频 | 香蕉a视频 | 亚洲综合精品一二三区在线 | 久久精品乱子伦免费 | 亚洲大片免费 | 欧美日韩亚洲国产综合 | 日本大片久久久高清免费看 | 欧美亚洲综合在线观看 | 深夜精品寂寞在线观看黄网站 | 特级aaa毛片| 国产女人伦码一区二区三区不卡 | 九九视频九九热 | 国产真实乱子伦精品 | 国语高清精品一区二区三区 | 久久久久久久久久免免费精品 | 亚洲黄色高清视频 | 天天干天天操天天爱 | 精品免费在线视频 | 国产大片91精品免费观看不卡 | 七月婷婷精品视频在线观看 | 国产精品日本一区二区不卡视频 | 在线观看日韩欧美 | 亚洲精品欧美精品一区二区 | 狠狠色丁香婷婷综合久久片 | 免费的拍拍视频在线观看 | 国产精品亚洲综合久久 | 夜夜春夜夜爽久久 | 国产成人精品aaaa视频一区 | 午夜国产精品久久影院 | 欧美一级成人毛片影院 | 欧美另类性视频在线看 | 天天干天天干天天色 |