Søg
Avatar billede peterfup Nybegynder
21. maj 2002 - 17:29 Der er 4 kommentarer og
1 løsning

Sikkerhed i forb. med stored procedure!

Hejza...

Jeg har lige et spørgsmål angående sikkerhed.

Jeg logger ind i sql som 'polle'
Hvis nu jeg har en tabel 'Person', som 'polle' ingen adgang har til og laver en stored procedure der henter data fra 'Person'. Har 'polle' så fået rettigheder til at gå direkte til 'Person' når jeg giver ham rettigheder til stored proceduren?

Er et muligt for 'polle' at se værdier hentet i den stored procedure brugt til at bestemme return værdien af denne?

F.eks.:

CREATE PROC adgang @brugernavn, @password
@res bit OUTPUT
AS BEGIN
IF @password = (SELECT password FROM Person WHERE brugernavn = @brugernavn)
THEN SET@res = 1
ELSE SET@res = 0
END

Er det muligt for 'polle' at se password'et fra 'Person' som bliver brugt til sammenligning?

/PeterFup
Avatar billede terry Ekspert
24. maj 2002 - 20:11 #1
I would say NO!
Have you tried it? SQL Server (should) always look at ALL objects used in for example stored procedures and views etc. So no, polle should NOT have permissions to Person!
Avatar billede peterfup Nybegynder
25. maj 2002 - 00:14 #2
I would say so too. I have read about the "Ownership Chain", and don't think he can see the password.
But I was wondering if there's a way that polle can see the value inside the stored procedure. There's no way he can insert a kind of breakpoint in the stored procedure and see the values compared? Like you can in several programming languages...!
Avatar billede terry Ekspert
25. maj 2002 - 00:20 #3
Well IF you hard coded the values then HE would be able to see them but you wouldnt do that would you?
In the example above you are calling the stored procedure with these values and he couldnt get to see them.
Avatar billede peterfup Nybegynder
25. maj 2002 - 00:27 #4
Ok, I'm safe then...

Thank You and here's your point
Avatar billede terry Ekspert
25. maj 2002 - 10:29 #5
:o)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
SQL kurser
Computerworld tilbyder specialiserede kurser i database-management
Se alle SQL kurser

Flere spørgsmål fra MS SQL kategorien

Titel Indlæg Oprettet Seneste aktivitet
Kan ikke connecte til Microsoft SQL 2005 server fra Windows 11 Af MartinBall i MS SQL 2 24/06/202509:38 24/06/202511:31
Danske karakterter i simpel insert Af boris i MS SQL 2 25/04/202414:05 29/04/202411:41
Kan ikke connecte til sql serveren Af simsen i MS SQL 2 05/01/202417:02 05/01/202420:51
Count med NOT IN og 2 conditions Af sorenmt84 i MS SQL 2 08/11/202308:37 08/11/202310:32
Top X af group Af totalpc i MS SQL 1 18/10/202321:23 09/11/202313:08
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 01:57 Tjek alle checkbox i form Af bsn i ASP
I går 21:35 Lidt simpel (håber jeg) Photoshop hjælp Af fcs i Billedbehandling
16/0516:04 Canon printer vil ikke udskrive farver Af mort1 i Printere
16/0514:50 Hvilket fabrikat af Mesh systemer virker? Af fkj i Wifi
15/0513:45 AJAX kode -javascript Af Asky i Programmeringsværktøjer
White papers
Flere white papers »