2. 程式人生 > >Chapter 2 User Authentication, Authorization, and Security(9):防止登錄名和用戶查看元數據

Chapter 2 User Authentication, Authorization, and Security(9):防止登錄名和用戶查看元數據

阿新 發佈:2017-08-06
eight ssms ini auto 情況 con title cas mar

原文出處:http://blog.csdn.net/dba_huangzj/article/details/39003679。專題文件夾:http://blog.csdn.net/dba_huangzj/article/details/37906349

未經作者同意。不論什麽人不得以“原創”形式公布,也不得已用於商業用途。本人不負責不論什麽法律責任。

前一篇:http://blog.csdn.net/dba_huangzj/article/details/38944121

前言:

在SQL Server 2005之前,全部server和數據庫元數據都是全部人可見的。當基於網銀的系統把SQL Server實例共享給客戶時,有可能能夠看到其它用戶的信息。

從2005開始,能夠通過控制權限來限制登錄名或用戶查看不必要的元數據。

實現:

假設你須要把數據庫對全部登錄名隱藏,能夠移除public角色上的VIEW ANY DATABASE權限:

USE master; 
GO 
REVOKE VIEW ANY DATABASE TO public;

同意某些帳號查看全部數據庫時。能夠創建一個用戶自己定義server角色:

USE master; 
CREATE SERVER ROLE [DatabaseViewer]; 
GO 
GRANT VIEW ANY DATABASE TO [DatabaseViewer]; 
ALTER SERVER ROLE [DatabaseViewer] ADD MEMBER [Fred];


註意,master和tempdcb總是對全部登錄可見。

你不能選擇性地對某些數據庫設置可見。一個登錄要麽能從【對象資源管理器】中看到全部數據庫。要麽全部庫都不能被看到。

假設一個登錄名被授予VIEW ANY DATABASEserver權限,那麽能夠在【對象資源管理器】中看到server全部數據庫,或者從sys.databases 文件夾視圖中查詢全部的數據庫。

假設登錄名沒有這個權限可是映射到某個數據庫的用戶中,那麽它依然不能看到全部數據庫。可是能夠使用sys.databases返回數據庫信息。而且使用USE 數據庫命令來切換數據庫。

同意選擇性地可見數據庫的唯一方式是讓登錄名作為數據庫的owner:

ALTER AUTHORIZATION ON DATABASE::marketing TO [Fred];

數據庫的owner有數據庫內全部權限,可是一個數據庫僅僅有一個owner。不能讓多個登錄名同一時候對一個數據庫進行owner設置。

在數據庫內,能夠定義特定數據庫對象為某些用戶可見。在SSMS中。右鍵數據庫的【安全性】節點,選擇【用戶】→【屬性】中的【安全對象】,然後在【查找】中加入特定對象,比方表、存儲過程或者架構。然後勾選【查看定義】的【授予】列:

技術分享

也能夠用命令實現,這裏註意上圖中的【腳本】,當你不記得命令時,能夠點一下這個button,會自己主動生成代碼:

use [AdventureWorks2012] 
GO 
GRANT VIEW DEFINITION ON [dbo].[AWBuildVersion] TO [test] 
GO

原理:

能夠用以下語句查看可被授權的元數據權限:

SELECT  parent_class_desc AS parent , 
        class_desc AS class , 
        permission_name AS permission 
FROM    sys.fn_builtin_permissions(NULL) 
WHERE   permission_name LIKE ‘VIEW%‘ 
ORDER BY CASE parent_class_desc 
           WHEN ‘‘ THEN 0 
           WHEN ‘SERVER‘ THEN 1 
           WHEN ‘DATABASE‘ THEN 2 
           WHEN ‘SCHEMA‘ THEN 3 
         END , 
        class , 
        permission;


【查看定義】的權限是能夠在非server範圍內查看的權限。

假設須要在全部範圍內查看。須要使用【VIEW ANY DEFINITION】。授予這個權限能夠同意登錄查看實例中的全部定義,【查看全部數據庫】適合那些僅須要訪問數據庫可是不須要訪問server其它對象的登錄名。

在數據庫中。用戶能夠看到自己有權限的對象。默認情況下。一個用戶僅是public數據庫角色的成員,是沒有權限的。

使用db_datareader固定數據庫角色能夠同意這個用戶看到全部表,授予VIEW DEFINITION給存儲過程、函數或者觸發器,同意你看到其底層代碼。

假設你不想讓別人看到,能夠在創建對象時使用WITH ENCRYPTION(在興許介紹。)


下一篇:http://blog.csdn.net/dba_huangzj/article/details/39473895

Chapter 2 User Authentication, Authorization, and Security(9):防止登錄名和用戶查看元數據

相關推薦

Chapter 2 User Authentication, Authorization, and Security9防止

eight ssms ini auto 情況 con title cas mar 原文出處:http://blog.csdn.net/dba_huangzj/article/details/39003679。專題文件夾:http://blog.csdn.net/dba_

.Net Core建站4FTP發布項目及連接服務器

release -h 繼續 body 網站名 targe 防火墻 down 生成 總感覺,今天(2018-1-14)下午寫不完這篇,雖然蠻簡單,只是點點點,,, 主要是記錄兩個, 1.連接服務器的數據庫 2.項目FTP發布到服務器 使用數據庫:SQL Serv

《Linux學習並不難》文件目錄管理9mv命令文件目錄改名、移動文件目錄路徑

Linux mv 7.9 《Linux學習並不難》文件目錄管理(9):mv命令文件和目錄改名、移動文件和目錄路徑使用mv命令可以對文件和目錄更改名稱以及移動文件和目錄的路徑。 命令語法:mv [選項] [源文件|目錄] [目標文件|目錄]命令中各選項的含義如表所示。選項 選項含義 -i覆蓋前詢問 -

PHP面試程序設計、框架基礎知識、算法與結構、高並發解決方案類

表設計 工作原理 結構 單一入口 php 能力 高並發解決方案 數據表 缺點 一、程序設計 1、設計功能系統——數據表設計、數據表創建語句、連接數據庫的方式、編碼能力 二、框架基礎知識 1、MVC框架基本原理——原理、常見框架、單一入口的工作原理、模板引擎的理解 2、常見框

標號9python(就業階段)——htmlcss進階

1、相對地址與絕對地址 相對地址:相對於引用檔案本身去定位被引用的檔案地址 絕對地址:相對於磁碟的位置去定位檔案的地址  ps:當整體檔案遷移,頂層目錄和碟符改變而找不到檔案 2、列表標籤  (1)有序列表 <ol> <li>列表

Spring Security2.2 History

Spring Security began in late 2003 as "The Acegi Security System for Spring". A question was posed on the Spring Developers' mailing list asking whether th

Spring Security2.1 Introduction What is Spring Security?

Spring Security provides comprehensive security services for Java EE-based enterprise software applications. There is a particular emphasis on supporting p

Spring Security2.4 Getting Spring Security

You can get hold of Spring Security in several ways. You can download a packaged distribution from the main Spring Security page, download indivi

Spring Security2.4.4 Checking out the Source檢查來源

Since Spring Security is an Open Source project, we’d strongly encourage you to check out the source code using git. This will give you full access to all

Spring Security2.4.3 Project Modules

In Spring Security 3.0, the codebase has been sub-divided into separate jars which more clearly separate different functionality areas and third-party depe

Spring Security官網嚮導翻譯

原文出自  https://spring.io/guides/topicals/spring-security-architecture Spring Security Architecture      This guide is a primer for Spring

各種音視訊編解碼學習詳解之 編解碼學習筆記Mpeg系列——Mpeg 1Mpeg 2

    最近在研究音視訊編解碼這一塊兒,看到@bitbit大神寫的【各種音視訊編解碼學習詳解】這篇文章,非常感謝,佩服的五體投地。奈何大神這邊文章太長,在這裡我把它分解很多小的篇幅,方便閱讀。大神部落格傳送門:https://www.cnblogs.com/skyofbitbit

Spring Security整合JWT

違背的青春 今天寫下Spring Security整合jwt的一個簡單小Demo,目的是登入後實現返回token,其實整個過程很簡單。 匯入依賴 <dependency>    <groupId>io.jsonwe

小白學 Python 資料分析9Pandas 資料預處理2

人生苦短,我用 Python 前文傳送門: 小白學 Python 資料分析(1):資料分析基礎 小白學 Python 資料分析(2):Pandas (一)概述 小白學 Python 資料分析(3):Pandas (二)資料結構 Series 小白學 Python 資料分析(4):Pandas (三)資

每天一個linux命令9cp命令

系統 lin 維基 介紹 參考 vip 聲明 com 開發平臺 版權聲明更新:2017-05-13博主:LuckyAlan聯系:[email protected]/* */聲明:吃水不忘挖井人,轉載請註明出處! 1 文章介紹 本文介紹了Linux下面的cp命令。

springBoot9web開發-CORS支持

springboot springboot web開發-cors支持 一、簡介Web 開發經常會遇到跨域問題,解決方案有:jsonp,iframe,CORS 等等1.1、CORS與JSONP相比1、JSONP只能實現GET請求,而CORS支持所有類型的HTTP請求。2、使用CORS,開發者可以使用普通

Shiro學習15單點

XML init mage oid login plugin void keystore .com Shiro 1.2開始提供了Jasig CAS單點登錄的支持,單點登錄主要用於多系統集成,即在多個系統中,用戶只需要到一個中央服務器登錄一次即可訪問這些系統中的任何一個,無須

C# Tips獲得當前計算機的本地/域

track hit sharp pos uri 是否 art tip white 須要using的namespace: using System.Security.Principal; 獲得登錄計算機的用戶: WindowsIdentity win

NS3網絡仿真9 構建以太網幀

構造 style lib ans 嘗試 pos height prot art 快樂蝦http://blog.csdn.net/lights_joy/歡迎轉載,但請保留作者信息在NS3使用了一個叫Packet的類來表示一個數據幀,本節嘗試用它構造一個以太網幀。以下是一個

23種設計模式9訪問者模式

類方法 打印 interface 增加 http col visitor 設計模式的 接口 定義:封裝某些作用於某種數據結構中各元素的操作,它可以在不改變數據結構的前提下定義作用於這些元素的新的操作。 類型:行為類模式 類圖: 訪問者模式可能是行為類模式中最