<一>存儲過程加密web
其實,用了這十多年的SQL server,我已經成了存儲過程的忠實擁躉。在直接使用SQL語句仍是存儲過程來處理業務邏輯時,我基本會堅決果斷地選擇後者。sql
理由以下:數據庫
一、使用存儲過程,至少在防非法注入(inject)方面提供更好的保護。至少,存儲過程在執行前,首先會執行預編譯,(若是因爲非法參數的緣由)編譯出錯則不會執行,這在某種程度上提供一層自然的屏障。安全
我至今還記得大約8、九年前採用的一個權限控制系統就是經過拼湊一個SQL語句,最終獲得了一個形如「 where 1=1 and dataID in (1,2) and ModelID in (2,455) And ShopID in (111) and departID in ( 1,3) and ([Name] like %myword%) 」的where條件子句來獲取符合條件的結果集。服務器
注意:這個參數是經過地址欄web應用的地址欄或Winform的UI界面來輸入的,因此對惡意注入須要花費必定的成原本維護。由於一些經常使用的關鍵字(或敏感詞)很難區分是惡意或非惡意。架構
二、使用存儲過程而不是直接訪問基表,能夠提供更好的安全性。你能夠在行級或列級控制數據如何被修改。相對於表的訪問,你能夠確認有執行權限許可的用戶執行相應的存儲過程。這也是訪問數據服務器的唯一調用途徑。所以,任何偷窺者將沒法看到你的SELECT語句。換句話說,每一個應用只能擁有相應的存儲過程來訪問基表,而不是「SLEECT *」。函數
三、存儲過程能夠加密。(這點很是實用,設想一下,您的數據庫服務器是託管的或租用的,你是否能問心無愧的天天睡個安穩覺。若是競爭對手「一不當心」登上你的SQL Server,或經過注入獲得了你的存儲過程,而後相應的注入惡意的SQL,將您的業務邏輯亂改一通,而恰巧您五分鐘前又沒作備份,那會怎麼樣?)測試
(注意:加密存儲過程前應該備份原始存儲過程,且加密應該在部署到生產環境前完成。)加密
存儲過程的加密很是簡單,咱們看一個例子:orm
插入測試表
複製代碼 代碼以下:
use testDb2
go
/**********測試表*****************/
SET ANSI_PADDING ON
GO
CREATE TABLE [dbo].[tb_demo](
[id] [int] NOT NULL,
[submitdate] [datetime] NULL,
[commment] [nvarchar](200) NULL,
)
GO
SET ANSI_PADDING OFF
GO
Insert into [tb_demo]
select 1024, getdate(),REPLICATE('A',100);
WAITFOR DELAY '00:00:04';
Insert into [tb_demo]
select 1024, getdate(),REPLICATE('B',50);
go
插入存儲過程:
複製代碼 代碼以下:
/***************建立未加密的存儲過程*******************/
Create Procedure CPP_test_Original
AS
select * from [tb_demo]
go
/***************建立加密的存儲過程*******************/
Create Procedure CPP_test_Encryption
with encryption
AS
----能夠換成任意的邏輯
execute CPP_test_Original
go
未加密的存儲過程:
加密的存儲過程:
此時,至少,存儲過程的內容不會被輕易看到(雖然解密也是有可能的)。應用這個,咱們能夠對某些關鍵的存儲過程進行加密。但此時,存儲過程仍然能被execute、alter和drop。
<二>安全上下文
除了加密sql文本的內容,咱們還可使用EXECUTE AS 子句設定存儲過程的安全上下文,以知足不一樣的安全級別需求。
若是你對這些不感興趣,請直接路過帶下劃線的段落。
(關於EXECUTE AS 子句的詳細用法,請參看MSDN:http://msdn.microsoft.com/zh-cn/library/ms188354.aspx)
此處,咱們須要瞭解的是:
一、在 SQL Server 中,能夠定義如下用戶定義模塊的執行上下文:函數(內聯表值函數除外)、過程、隊列和觸發器。
經過指定執行模塊的上下文,能夠控制數據庫引擎使用哪個用戶賬戶來驗證對模塊引用的對象的權限。這有助於人們更靈活、有力地管理用戶定義的模塊及其所引用對象所造成的對象鏈中的權限。必須並且只需授予用戶對模塊自身的權限,而無需授予用戶對被引用對象的顯式權限。只有運行模塊的用戶必須對模塊訪問的對象擁有權限。
針對函數、過程、隊列和觸發器,對應的參數也不一樣。存儲過程對應的參數包括(CALLER | SELF | OWNER | 'user_name')。
■CALLER 指定模塊內的語句在模塊調用方的上下文中執行。執行模塊的用戶不只必須對模塊自己擁有適當的權限,還要對模塊引用的任何數據庫對象擁有適當權限。 CALLER 是除隊列外的全部模塊的默認值,與 SQL Server 2005 行爲相同。 CALLER 不能在 CREATE QUEUE 或 ALTER QUEUE 語句中指定。
■SELF EXECUTE AS SELF 與 EXECUTE AS user_name 等價,其中指定用戶是建立或更改模塊的用戶。建立或更改模塊的用戶的實際用戶 ID 存儲在 sys.sql_modules 或 sys.service_queues 目錄視圖的 execute_as_principal_id 列中。SELF 是隊列的默認值。
■OWNER 指定模塊內的語句在模塊的當前全部者上下文中執行。若是模塊沒有指定的全部者,則使用模塊架構的全部者。不能爲 DDL 或登陸觸發器指定 OWNER。注意:OWNER 必須映射到單獨賬戶,不能是角色或組。
■'user_name' 指定模塊內的語句在 user_name 指定的用戶的上下文中執行。將根據 user_name 來驗證對模塊內任意對象的權限。不能爲具備服務器做用域的 DDL 觸發器或登陸觸發器指定 user_name。請改用 login_name。user_name 必須存在於當前數據庫中,而且必須是單獨賬戶。user_name 不能是組、角色、證書、密鑰或內置賬戶,如 NT AUTHORITY\LocalService、NT AUTHORITY\NetworkService 或 NT AUTHORITY\LocalSystem。執行上下文的用戶 ID 存儲在元數據中,能夠在 sys.sql_modules 或 sys.assembly_modules 目錄視圖的 execute_as_principal_id 列查看。
二、全部權鏈具備如下限制:
僅適用於 DML 語句:SELECT、INSERT、UPDATE 和 DELETE。
調用和被調用對象的全部者必須相同。
不適用於模塊內的動態查詢。
咱們看一個示例:
第一步、建立一個測試存儲過程,用來delete表tb_Demo的全部數據
複製代碼 代碼以下:
USE testDb2
GO
CREATE PROCEDURE dbo.[CPP_DEL_ALL_Tb_Demo]
AS
-- Deletes all rows prior to the data feed
DELETE dbo.[tb_Demo]
GO
第二步:建立一個帳號TonyZhang,並賦於該帳號對該存儲過程的exec權限
複製代碼 代碼以下:
USE master
GO
CREATE LOGIN TonyZhang WITH PASSWORD = '123b3b4'
USE testDb2
GO
CREATE USER TonyZhang
GO
GRANT EXEC ON dbo.[CPP_DEL_ALL_Tb_Demo] to TonyZhang
以該帳號登陸SQL Server,並執行:
複製代碼 代碼以下:
EXECUTE dbo.CPP_DEL_ALL_Tb_Demo/**(4 row(s) affected)**/
注意:此時,雖然TonyZhang除了執行存儲過程[CPP_DEL_ALL_Tb_Demo]以外沒有任何其餘權限,但仍然執行了存儲過程,並刪除了表記錄。
若是咱們修改存儲過程爲:
複製代碼 代碼以下:
Alter PROCEDURE dbo.[CPP_DEL_ALL_Tb_Demo]
AS
-- Deletes all rows prior to the data feed
truncate table dbo.[tb_Demo]
GO
此時,再以TonyZhang登陸,並執行存儲過程,會提示:
這是由於全部者權鏈只限定在SELECT、INSERT、UPDATE 和 DELETE。而不包括Truncate,換句話說,系統授於的Exec只既定於SELECT、INSERT、UPDATE 和 DELETE
有人可能會問:若是在存儲過程內部調用動態語句,而不是明確的表名,咱們如何限定權限呢?
第三步:咱們創建一個存儲過程,功能是傳入一個參數表名,查詢該表的記錄數。
複製代碼 代碼以下:
CREATE PROCEDURE dbo.[CPP_SEL_CountRowsFromAnyTable]
@SchemaAndTable nvarchar(255)
AS
EXEC ('SELECT COUNT(1) FROM ' + @SchemaAndTable)
GO
授於Tonyzhang 以執行該存儲過程的權限:
複製代碼 代碼以下:
GRANT EXEC ON dbo.[CPP_SEL_CountRowsFromAnyTable] to TonyZhang
go
此時,以Tonyzhang登陸,執行存儲過程,會提示:
注意,此時,tonyzhang雖然有執行存儲過程的權限,可是沒有參數表的select權限,因此執行失敗。
第四步:修改存儲過程的上下文
建立一個新帳號jackwang,賦於表tb_Demo的select權限
複製代碼 代碼以下:
USE master
GO
CREATE LOGIN JackWang WITH PASSWORD = '123b3b4'
USE Testdb2
GO
CREATE USER JackWang
GRANT SELECT ON OBJECT::dbo.[tb_Demo] TO JackWang
GO
/*******
注意:此時,JackWang 能夠執行dbo.[tb_Demo的Select
*******/
修改存儲的執行者
複製代碼 代碼以下:
USE Testdb2
GO
alter PROCEDURE dbo.[CPP_SEL_CountRowsFromAnyTable]
@SchemaAndTable nvarchar(255)
WITH EXECUTE AS 'JackWang'
AS
EXEC ('SELECT COUNT(1) FROM ' + @SchemaAndTable)
GO
注意:這樣,咱們再調用存儲過程[CPP_SEL_CountRowsFromAnyTable]時,會自動以JackWang的身份運行該存儲過程。
此時,咱們仍以Tonyzhang登陸,再執行:
小結: 本文經過簡單的兩個示例開始SQL server代碼的安全之旅, 一、存儲過程的加密,(注意:加密存儲過程前應該備份原始存儲過程,且加密應該在部署到生產環境前完成。) 二、存儲過程的安全上下文。能夠經過上下文設置更加嚴格的數據訪問級別。(主要是對SELECT、INSERT、UPDATE 和 DELETE語句的訪問限制)